Criptografia e Prevenção de Intrusão em Sistemas

FUNDAO DE APOIO ESCOLA TCNICA DO ESTADO DO RIO DE J ANEIRO
INSTITUTO SUPERIOR DE TECNOLOGIA EM CINCIA DA COMPUTAO

LABORATRIO NACIONAL DE COMPUTAO CIENTFICA

SAULO VITOR BORBA EVANGELISTA

SISTEMAS DE DETECO DE INTRUSOS E SISTEMAS DE
PREVENO DE INTRUSOS:
PRINCPIOS E APLICAO DE ENTROPIA

PETRPOLIS
2008
2


Trabalho de concluso de curso
apresentado ao Instituto Superior de
Tecnologia IST, como requisito parcial
para obteno de ttulo de tecnlogo em
Tecnologia da Informao e da
Comunicao.

ORIENTADOR: Prof. Fbio Borges

PETRPOLIS
2008
3


Trabalho de concluso de curso
apresentado ao Instituto Superior de
Tecnologia IST, como requisito parcial
para obteno de ttulo de tecnlogo em
Tecnologia da Informao e da
Comunicao.

Aprovado em de de 2008
BANCA EXAMINADORA

______________________________________________
Prof. Fbio Borges de Oliveira
Laboratrio Nacional de Computao Cientfica LNCC

_______________________________________________
Prof. Wagner Vieira Leo

_______________________________________________
Prof. Paulo Cabral Filho

_______________________________________________
Prof. Luis Rodrigo Oliveira Gonalves

PETRPOLIS
2008
4

minha famlia que muito me
incentivou para concluso deste
trabalho.
5
Agradecimentos

Ao Professores Fbio Borges, Wagner Vieira, Paulo Cabral e Luis Rodrigo;
Aos Professores que tambm contriburam para minha formao e s pessoas que de
alguma maneira ajudaram para concluso deste trabalho.

6

Quando Crbero, a mais vil das
bestas, nos descobriu, a boca
escancarou, exibindo os dentes e
outros membros, raivoso, agitado.

Dante Alighieri, A divina
Comdia.
7
Resumo

A finalidade de um Sistema de Deteco de Intrusos detectar uma invaso e a de
um Sistema de Preveno de Intrusos de detectar e bloquear uma invaso. Para
implementao de um sistema de deteco encontramos algumas dificuldades como os
conflitos gerados com outros meios de segurana como criptografia e redes com switches.
Existem hoje no mercado vrios programas de deteco de intrusos, tais como o Snort,
programa confivel e de fcil instalao, e equipamentos de preveno de intrusos como os
Appliances. Um novo conceito est sendo estudado para novas implementaes mais
eficazes para a deteco de intrusos, que a introduo de Entropia em sistemas capazes de
detectar intrusos, onde a Entropia calculada para medir os nveis de distribuio de
trfego e assim analisar se h alguma anomalia no trafego de rede.

Palavras-chaves

Sistemas de Deteco de Intrusos, Sistemas de Preveno de Intrusos, Snort, Appliances,
Entropia.
8
Abstract

The purpose of an Intrusion Detection System is to detect an invasion and a system
of Intrusion Prevention is to detect and block an invasion. To implement a system to detect
find some difficulties as the conflicts generated by other means as security such encryption
and networks with switches. There are various programs on the market today for detecting
intruders, such as Snort, reliable and easy to program installation, and equipment for
preventing intruders such as appliances. A new concept is being studied for new
deployments more effective for detecting intruders, that is the introduction of entropy in
systems that can detect intruders, where the entropy is calculated to measure the levels of
distribution of traffic and thus examine whether there is an anomaly in the traffic network.

9
ndice
1 Introduo ..................................................................................................................... 11

2 Camadas de Rede e Protocolos ..................................................................................... 12
2.1 Modelo OSI ........................................................................................................... 12
2.2 Modelo TCP/IP ..................................................................................................... 15

3 IDS e IPS - Comparativo .............................................................................................. 17
3.1 Intrusos ................................................................................................................. 17
3.2 Tcnicas de Intruso ............................................................................................. 17
3.3 O que IDS? ........................................................................................................ 18
3.4 O que IPS? ......................................................................................................... 19
3.5 Terminologia referente a IDS/IPS ........................................................................ 19
3.6 Por que usar um IDS? .......................................................................................... 20
3.7 IDS - Funcionamento e composio ..................................................................... 20
3.8 Estratgias para IDS ............................................................................................ 21
3.9 Tipos de IDS ......................................................................................................... 22
3.10 Tipos de IPS .......................................................................................................... 24
3.11 Implementao de um IDS .................................................................................... 24
3.12 IDS - Servios ....................................................................................................... 25
3.13 Problemas comuns com IDS/IPS .......................................................................... 26
3.14 Implementao na rede ........................................................................................ 27

4 Desafios para um IDS ................................................................................................... 29
4.1 IDS x SSL, IPSec ................................................................................................... 29
4.2 IDS em redes com switches .................................................................................. 32
4.3 IDS em redes de alta velocidade .......................................................................... 35
4.4 Distributed Denial of Service (DDoS) ................................................................. 36
4.5 IDS x Firewalls ..................................................................................................... 46

10
5 Segunda Lei da Termodinmica e Entropia ................................................................. 50
5.1 Relao entre a Segunda Lei da Termodinmica e a Entropia ............................ 50
5.2 A Segunda Lei da Termodinmica e a Entropia Conceitos ............................... 51

6 Entropia No-Extensiva de Tsallis e sua utilizao na Deteco de Anomalias de
Trfego .................................................................................................................................. 54
6.1 Clculo de Entropia ............................................................................................. 54
6.2 Entropia de Shannon e Entropia No-Extensiva de Tsallis ................................. 55

7 Equipamentos e Programas .......................................................................................... 61
7.1 Snort ..................................................................................................................... 61
7.2 Ossec HIDS .......................................................................................................... 69
7.3 Appliance .............................................................................................................. 69
7.4 HLBR .................................................................................................................... 71

8 Concluso ..................................................................................................................... 72

11
1 Introduo

O conceito de Intrusion Detection System (IDS) surgiu nos anos 80 em estudos do
Stanford Research Institute. Conhecido como Project 6169 - Statistical Techniques
Development For An Audit Trail System, o projeto utilizava um algoritmo de alta
velocidade que analisava os usurios com base nos seus perfis de comportamento.[1]
A partir dos IDS surgiu o Intrusion Prevention System (IPS) sistema que alm de
detectar ataques, interrompe, e tambm ser mencionado no trabalho. O IDS fornece uma
camada extra de proteo para um sistema computacional. Ele auxilia na proteo da rede.
Suponhamos que temos uma rede bem montada com firewalls, roteadores e switches
colocados em locais bem estudados, pois bem, pode-se achar que temos segurana, mas no
bem assim, toda essa tecnologia precisa de configurao e s vezes no so to bem
configuradas pelo administrador do sistema. a que entra o IDS para fornecer essa
proteo extra de que falamos. Em resumo IDS so ferramentas automatizadas e
inteligentes para detectar tentativas de intruso em tempo real e IPS so IDS que atravs de
outros mecanismos vo interromper o invasor ou fazer algo para det-lo.
O objetivo explicar o que um IDS e tambm mencionar os IPS, dando exemplos
dos sistemas disponveis no mercado e fazer uma anlise dos mesmos, e por fim dar nfase
na utilizao de Entropia em sistemas de deteco. Na introduo conceitua-se IDS e
menciona-se a sua importncia em uma rede de computadores. Dando incio ao trabalho
feita uma sucinta abordagem dos protocolos para internet modelo Open Source
Interconnection (OSI) e modelo Transmission Control Protocol / Internet Protocol
(TCP/IP). Vale salientar que o IDS trabalha em cima do modelo OSI. No desenvolvimento
feito um comparativo do conjunto IDS/IPS analisando com mais aprofundamento estes
sistemas e abordado funcionamento e composio, implementao e tipos de IDS/IPS. So
mostrados os problemas na implementao desses sistemas tais como: IDS com Secure
Socket Layer (SSL), redes com switches, redes de alta velocidade e etc. feita a abordagem
da Segunda Lei da Termodinmica para o entendimento do conceito de Entropia e
mostrado a utilizao de Entropia num IDS. No ltimo captulo o Snort detalhado, IDS
muito utilizado devido a sua facilidade e bom desempenho, e feito uma exposio de
equipamentos e programas e suas caractersticas, chamando a ateno para os appliances
como IPSs.
12
2 Camadas de Rede e Protocolos

Para falarmos de IDS/IPS torna-se necessrio falarmos dos protocolos de Internet,
como se relacionam e os modelos que formam, pois o IDS vai agir diretamente nas
camadas desses modelos.
Os protocolos para internet so um grupo de protocolos de comunicao
caracterizados como pilhas, que so padres onde a Internet e a maioria das redes
funcionam.
Existem dois padres para internet mais conhecidos e utilizados. Um o OSI e o
outro o TCP/IP, nomeado dessa forma, pois o protocolo TCP e o protocolo IP so os mais
importantes. de costume se comparar o modelo OSI com o TCP/IP, mas estes possuem
algumas diferenas. O modelo TCP/IP uma forma reduzida do modelo OSI. O primeiro
tem cinco camadas e o segundo sete. Portanto, as camadas do modelo OSI no so iguais ao
modelo TCP, existem algumas diferenas de funes.
O IDS baseado em rede, que ser visto posteriormente, opera sobre camadas de rede
do modelo TCP e do modelo OSI, o qual ser explicado a seguir.

2.1 Modelo OSI

Para facilitar a comunicao entre computadores foi criado o padro OSI com o
objetivo de que diferentes mquinas funcionando com diversos sistemas pudessem se
entender.
Cada camada desse modelo tem suas configuraes de regras e protocolos para
codificar e decodificar os dados que passam por essas camadas. Para se enviar uma
informao os dados comeam pela camada de aplicao e so passados para camadas de
baixo, tendo cada camada instrues especificas, at que chegue a camada fsica. Para o
recebimento o inverso feito.
Este modelo compe-se de sete camadas que so: fsica, enlace, rede, transporte,
sesso, apresentao e aplicao.Veja figura 1:

13

Figura 1: Modelo de comunicao OSI. A camada Fsica onde teoricamente os dados
esto mais prximos dos impulsos eltricos [2].
2.1.1 Camada Fsica

Camada de mais baixo nvel do protocolo ela quem define as caractersticas
tcnicas dos dispositivos eltricos. quem controla a velocidade da transmisso, define as
caractersticas eltricas e faz o controle de acesso. Este controle de acesso pode ser:
centralizado ou distribudo. No modo centralizado, uma mquina controla o acesso rede,
um exemplo seria a topologia estrela. J no modo distribudo todas as mquinas podem
fazer o controle de acesso. Um exemplo seria a rede em anel).

2.1.2 Camada de Ligao de dados ou enlace

Esta camada detecta e corrige os erros que vieram da camada fsica ordenando os
quadros. Faz a transmisso e recepo destes quadros e controla o fluxo de dados. Esta
camada tambm trabalha com um protocolo de comunicao. Dentre os existentes temos:
LAPB, PPP e NetBios.

0111000110001001000100000111111000101010100010001111110011
Aplicao
Transporte
Enlace
Rede
Transporte
Sesso
Apresentao
Enlace
Rede
Sesso
Apresentao
Aplicao
Fsica Fsica
14
2.1.3 Camada de Rede

Faz o endereamento dos pacotes. Todos os endereos que eram lgicos passam a
ser fsicos. Define rota para que o pacote chegue ao destino fazendo anlise de trfego e
definido qual o melhor caminho. Tambm faz a fragmentao de pacotes, controle de
congestionamento e sequenciamento de pacotes.

2.1.4 Camada de Transporte

Na transmisso esta camada pega os dados enviados pela camada de sesso e divide
em pacotes. Na recepo esta camada pega os pacotes da camada de rede e reconstitui o
dado para ser entregue a camada de sesso.
Esta camada faz a ligao das camadas de aplicao (nveis 5 a 7) e de nvel fsico
(1 a 3). A camada de transporte pode trabalhar em dois modos: orientado a conexo e no
orientado a conexo. Um exemplo de protocolo orientado a conexo o TCP e no
orientado temos o UDP. O modo orientado a conexo mais confivel, pois, permite
integridade e a correta seqncia ou ordenao dos dados.

2.1.5 Camada de Sesso

Esta camada permite que aplicaes diferentes em diferentes computadores possam
se comunicar. Tambm faz marcaes nos pacotes para que caso a rede tenha problemas de
comunicao, os dados sejam transmitidos de onde foram interrompidos.

2.1.6 Camada de Apresentao

Faz a converso do formato do dado recebido pela camada de aplicao em um
formato entendido pelo protocolo usado. Faz tambm a compactao dos dados e pode
trabalhar tambm com algum tipo de criptografia que ser descriptografado e
descompactado na camada de apresentao do computador receptor.

2.1.7 Camada de Aplicao

15
Esta camada faz a ligao entre os aplicativos e o protocolo de comunicao
utilizado. Por exemplo, entre um aplicativo de e-mail e o protocolo de comunicao
responsvel por este servio.

2.2 Modelo TCP/IP

O modelo TCP/IP faz a unio de camadas como o caso das camadas de enlace e da
camada fsica mudando o nome para interface de rede ou somente fsica ou enlace. Isto por
sinal simplifica a entrega dos pacotes visto que a camada fsica define o tamanho dos
frames da camada de enlace. O protocolo TCP no tem todos os recursos do modelo OSI, e
nem se comunicam diretamente, porm a figura 2 visa apenas mostrar a mudana dos
nomes das camadas e a reduo do nmero de camadas no protocolo TCP. Uma das
principais diferenas entre esses dois modelos que o TCP no possui criptografia, por isso
introduzida uma forma de criptografia extra, o SSL.

Figura 2: Modelo de Comunicao TCP/IP, comparativo com modelo OSI. A camada de
interface de rede a mais prxima teoricamente, dos impulsos eltricos [2].

Este padro composto de quatro camadas: Aplicao, Transporte, Internet ou Rede
e Interface de rede.
0111000110001001000100000111111000101010100010001111110011
Aplicao
Transporte
Enlace
Rede
Transporte
Sesso
Apresentao
Rede
Fsica

Aplicao

Interface de rede
16
A camada de Interface de rede utiliza o padro Ethernet, a camada de rede o
protocolo IP, a camada de Transporte pode ter muitos padres utilizveis como UDP e
TCP, e a camada de aplicao utiliza, por exemplo, os protocolos HTTP (navegao na
World Wide Web), FTP (transporte de arquivos), SMTP (envio de email) e SSH (login
remoto seguro).
Para que seja feita a comunicao entre dois pontos na rede, sempre que os dados
passam de uma camada para outra no modelo de protocolo eles so passados com um
cabealho que permite a interao ou entendimento entre estas camadas. Por exemplo, os
dados da camada zero ou camada de interface de rede iniciam o pacote com o cabealho
para a camada um ou camada de rede. Os dados da camada um iniciam o pacote com o
cabealho para a camada dois ou camada de transporte e assim sucessivamente. Veja figura
3:

Figura 3: Padro de pilha TCP/IP [2].

Cabealho
Ethernet

Camada
Interface de
Rede
Dados
Cabealho
TCP
Camada
Transporte
Cabealho
Ipv4

Camada Rede
Cabealho
Aplicao
Dados
Dados
Dados
17

3 IDS e IPS - Comparativo

Neste captulo estaremos explicando em conjunto IDS com IPS com o objetivo de
esclarecer o entendimento de cada sistema. Estes sistemas sero mostrados tanto no que diz
respeito a conceitos, quanto a funcionamento e implementao. Inicialmente segue noes
bsicas de intruso para em seguida atingirmos o objetivo do captulo.

3.1 Intrusos

Intrusos so os invasores de um sistema e se classificam de trs maneiras:
Mascarado (invasor de fora da rede ou sistema): Invasor que no est autorizado a
entrar no sistema e o invade para obter privilgios de um usurio legtimo;
Infrator (invasor de dentro da rede): um usurio real ou legtimo que no est
autorizado a usar determinados recursos, mas os utiliza, ou ento, que est
autorizado, mas no os utiliza de forma lcita;
Usurio clandestino (invasor de dentro ou de fora da rede): Invasor que toma posse
de privilgios de administrador de um sistema para que se esquive de auditorias e
controles para acesso ou at mesmo para ludibriar provas auditrias contra este.

3.2 Tcnicas de Intruso

O principal objetivo de um intruso aumentar alguns privilgios dentro de um
sistema. Porm, esses privilgios so protegidos por senhas de usurio. Mas se um invasor
tem acesso a estas senhas ele pode obter estes privilgios. O administrador mantm essas
18
senhas em um arquivo, por isso necessrio que este esteja bem protegido. Abaixo segue
duas maneiras de se proteger esse arquivo de senhas:
Funo unidirecional ou no reversvel: A partir da entrada de uma senha o sistema
a transforma em um valor de tamanho fixo que no pode ser revertido. Assim, o sistema
no necessita de armazenar as senhas, mas somente os valores gerados a partir das mesmas.
Controle de acesso: Neste caso se limita ao extremo o acesso ao arquivo de senhas.
Agora descreveremos algumas tcnicas que invasores utilizam para a descoberta de
senhas:
1. Tentar senhas padro geralmente entregues com o sistema;
2. Tentar senhas curtas;
3. Tentar palavras de dicionrios on-line;
4. Tentar senhas com informaes sobre seus usurios;
5. Tentar nmeros de placa de automveis;
6. Usar Cavalo-de-Tria para ludibriar restries de acesso;
7. Utilizar-se de escutas clandestinas entre acesso remoto e sistemas fixos;
At o quinto mtodo podemos ver que so mtodos de tentativas e erros para
descoberta de senha, porm so de fcil defesa para os administradores de sistemas. J o
sexto item um pouco mais complicado, pois se trata de fazer com que um usurio legtimo
instale um Cavalo-de-Tria em sua mquina que far com que o invasor obtenha acesso,
por exemplo, a um arquivo de senhas que antes estaria protegido por criptografia, mas que
agora est descriptografado, pois um arquivo com privilgios para o usurio. Por fim, o
stimo item pode ser resolvido com criptografia do link.
As tcnicas de invaso no se baseiam apenas na descoberta de senhas, mas tambm
em vrias outras maneiras, tais como sobrecarga de um sistema com envio constante de
solicitaes.

3.3 O que IDS?

O IDS tem por finalidade detectar uma ameaa ou intruso na rede. Pode se dizer
por analogia que o IDS como se fosse um alarme de um carro que soa quando algum
abre sua porta.
19
A monitorao e a deteco de intrusos eficientes so to importantes quanto chaves
e cadeados em nossas casas, assim como firewalls em nossas redes.
Imaginemos que tenhamos um servidor Web conectado a internet e queremos que
clientes tenham acesso s pginas de Web. Pois bem, temos que pensar em segurana para
no haver alterao por parte de invasores. Um firewall ou sistema de autenticao podero
prevenir os acessos sem autorizao, mas s vezes pode ser quebrada a regra do firewall ou
do sistema de autenticao. Sendo o IDS um sistema implementado na rede para alertar
tentativas de acesso sem autorizao aos computadores, este pode auxiliar ou complementar
a segurana de um sistema j implementado com um firewall.

3.4 O que IPS?

O IPS complementa um IDS bloqueando a intruso e impedindo um dano maior
para a rede. uma ferramenta que detecta e bloqueia o invasor. Como foi dito o IDS
como se fosse um alarme de um carro que somente soa quando algum abre sua porta. J o
IPS dispara o alarme e tambm trava as rodas para que o invasor no leve o carro.
Uma boa forma de se obter segurana em uma rede fazer a preveno de invases.
Porm para a instalao de um IPS deve-se levar em conta que temos um sistema limpo, ou
seja, no esteja comprometido e deve-se possuir um conhecimento amplo do estado do
sistema para que no se tenha problema posterior.
Para que o administrador da rede possa tomar alguma atitude quanto a uma invaso,
deve-se obter informaes no momento exato da invaso. A partir da deteco, um IPS
executar aes para interromper o ataque e evitar ataques futuros. Essas aes podem ser
desde o cancelamento de uma conexo at uma reconfigurao do firewall para interromper
o ataque.

3.5 Terminologia referente a IDS/IPS

Alertas/Eventos

um aviso gerado pelo IDS quando este detecta determinada invaso. Este alerta
pode ser dado tanto local quanto remotamente.
Evaso

20
um ataque ao IDS sem que este detecte o mesmo, uma maneira que se encontra
de ludibriar o sistema.
Fragmentao

Fragmentao uma maneira de dividir os pacotes de tal forma que no ultrapasse o
limite da rede. A fragmentao utilizada para a evaso ou tambm em ataques de negao
de servio.
Assinaturas

Assinaturas so ataques conhecidos. Atravs das assinaturas ou regras pode-se gerar
os alertas para atividades suspeitas. feita comparao dos dados com as assinaturas e a
so gerados os alertas.

3.6 Por que usar um IDS?

Podemos nos perguntar por que usar um IDS. A resposta mais direta seria proteger
os dados e a integridade do sistema. Para se ter proteo de integridade quanto a intrusos na
Internet, somente senhas e segurana de arquivos no so suficientes. Devemos ter um bom
sistema de segurana para a proteo dos dados. No podemos somente entrar na Internet e
achar que ningum vai invadir. importante que o sistema previna acessos a arquivos
crticos ou bancos de dados de autenticao (como o NT SAM do Windows NT ou o Unix
/etc/passwd) exceto por administradores de sistemas autorizados [3].

3.7 IDS - Funcionamento e composio

O IDS faz anlises na rede e no Sistema Operacional, verificando as atividades dos
usurios, excesso de conexes, volume de dados, servios de rede e etc. Esses dados so
guardados em uma base de dados para que posteriormente de acordo com a configurao do
sistema este possa alertar uma intruso ou ameaa.
As ferramentas de IDS detectam diversos tipos de situaes tais como:
Scans: verifica se h portas do sistema que se encontram abertas;
21
Ataques de comprometimento: o invasor obtm um Shell (terminal) com privilgios
de root (superusurio, permite fazer qualquer tipo de alterao no sistema) para
explorar vulnerabilidades;
Ataques Denial of Service (DoS): enviado um grande nmero de pacotes para
sobrecarregar o desempenho do sistema comprometido [4].

De uma forma geral um IDS composto dos seguintes elementos:
Um dispositivo de acumulo de informaes: Esse dispositivo deve ser capaz de
colher dados. Por exemplo, ele deve ser capaz de detectar mudanas em um disco
rgido, capturar pacotes em uma rede etc;
Um mecanismo para monitorao de processos: Um IDS deve ser capaz de
monitorar a si mesmo e a rede a qual est protegendo, fazendo verificaes
constantes, para que possa enviar informaes para o administrador. O Snort,
programa de IDS, pode avisar que ouve um problema na rede atravs de mensagens
que no caso seriam enviadas para o arquivo /var/log/messages;
Capacidade de armazenamento de informaes: A partir do momento que as
informaes foram capturadas pelo dispositivo de acumulo de informaes essas
informaes devem ser armazenadas em algum lugar;
Dispositivo de controle e comando: No que se diz respeito a controle e comando o
IDS deve ser fcil de controlar seu comportamento;
Um dispositivo de anlise: Deve-se ter um dispositivo de anlise para o
administrador poder analisar seu acervo de dados utilizando um aplicativo.

3.8 Estratgias para IDS

3.8.1 Aplicativos IDS baseados em regras ou assinaturas

Este tipo de IDS geralmente mais fcil de instalar. Para se ter um IDS baseado em
assinaturas eficiente basta fazer com que o IDS carregue todas essas assinaturas e que se
faa uma constante atualizao destas. Assim, o IDS ser capaz de detectar os ataques
rede.
22
Essas assinaturas so ataques reais que foram identificados. J uma regra uma
linha de cdigo que informa ao IDS sobre determinada assinatura.

3.8.2 Aplicativos IDS baseados em anomalias

Esse mtodo bem trabalhoso e no to seguro assim, pois o que feito uma
coleta dos dados passados pela rede. O sistema rene informaes da atividade da rede e
forma uma base de dados. A partir da o sistema faz comparaes das ocorrncias da rede
com essa base de dados e alerta sobre atividades que esto fora do que de costume, ou de
normal acontece na rede. No entanto, se torna difcil configurar um sistema especificando o
que normal e o que anormal em se tratando de trfego de rede.
Pode-se pensar que uma constante deteco de invaso o mais eficaz, porm o
problema se fazer anlise de todas essas informaes. Por isso o que se aconselha fazer
anlises em intervalos de tempo, ou seja, baseadas em intervalos.
Esses intervalos podem ser no horrio que no tiver expediente, e tambm em
intervalos aleatrios durante o expediente. Todas essa informaes geradas podem ser
gravadas em uma base de dados de arquivos pequenos com alguns Mega Bytes.

3.9 Tipos de IDS

3.9.1 Host Based Intrusion Detection System (HIDS)

O IDS de Host instalado em determinada mquina para avaliar o prprio host.
Analisa os eventos do sistema operacional, eventos de acesso e eventos de aplicao,
monitora as entradas, ou qualquer outra parte que represente tentativa de intruso. Bloqueia
tambm ataques que no so detectados pelo firewall como, por exemplo, protocolos
criptografados. O IDS tambm acusa uma tentativa suspeita como um usurio tentando
utilizar algo que ele no tenha permisso.
Existem dois tipos de aplicativos IDS baseados em host:
Analisadores de eventos (listagem das ocorrncias em uma rede ou num
computador): Procura por conexes abertas de rede e monitoram portas do sistema;
Analisadores de unidades de disco do sistema: Analisa unidade de disco e outros
perifricos do sistema e cria uma base de dados. Essa base de dados como se fosse
23
a situao original do sistema e sempre que ocorrer uma mudana o IDS pode gerar
um alerta ou registrar a mudana.

3.9.2 Network Based Intrusion Detection System (NIDS)

O NIDS instalado em um segmento de rede onde atravs de uma base de dados faz
comparaes necessrias com os pacotes de rede ou ento faz a decodificao e verifica os
protocolos de rede. O NIDS verifica os usurios externos no autorizados a entrar na rede,
DoS ou roubo de base dados.
O IDS baseado em rede opera sobre as camadas de rede do modelo (OSI/RM). Esse
tipo aplicativo baseado em rede bem interessante quando se quer analisar o trfego da
rede.
Um IDS baseado em rede se torna muito mais eficiente e de fcil controle pelo
administrador quando se utiliza vrios servidores para aplicao do IDS. Um servidor para
captura de dados, outro para monitorao e armazenamento e um para anlise atenderia
necessidade de processamento e armazenagem dos dados. O servidor sensor detecta os
dados que passam pela rede e os envia para o servidor de armazenagem, este envia para o
servidor de anlise o arquivo que contm os pacotes enviados pelo sensor. O servidor de
anlise pode ento ler os pacotes onde esto armazenados ou selecionar os eventos da
estao de armazenagem.
O dispositivo de armazenagem pode deixar todos os eventos prontos para serem
enviados atravs de um servidor Web. O servidor para anlise pode ser um servidor Linux
com um navegador de Web. O administrador poder utilizar o navegador Web para acessar
o servidor Web do dispositivo de armazenamento. O administrador pode ainda utilizar um
Secure Shell (SSH) para acessar diretamente os eventos, ou seja, base de dados.
Vale salientar que um IDS precisa de muito processamento para seu funcionamento
e os arquivos de registros precisam de grande quantidade de espao no disco rgido. Assim
deve se levar em considerao, a idia de dividir o trabalho realizado por um IDS em
servidores diferentes.

3.9.3 IDS Distribudo Sistema de Deteco de Intrusos Distribudo (SDID)

24
Neste modelo so utilizados sensores NIDS localizado onde se proteja os servidores
pblicos e outros sensores analisando os hosts onde a rede teoricamente mais confivel.
Todos esses IDS se comunicam diretamente com uma estao de gerenciamento
centralizada. Os uploads (envio de dados) dos eventos de ataque podem ser feitos atravs
da estao de gerenciamento e armazenados em um banco de dados central. O download
(retirada de dados) de assinaturas de ataque so feitos pelos prprios sensores. Cada sensor
pode ter regras especificas para atender suas necessidades.
A comunicao entre os sensores e o gerenciador pode ser feita atravs de uma rede
privada ou atravs da prpria rede existente. Mas neste caso deve ser usada criptografia ou
Virtual Private Network (VPN).

3.10 Tipos de IPS

Existem dois tipos de sistemas de preveno de intrusos no mercado:

3.10.1 Host-Based (Baseados em host)

Os sistemas baseados em host so programas de preveno de intrusos para serem
instalados diretamente em computadores;

3.10.2 InLine (Em linha)

todo dispositivo de hardware ou software habilitado a detectar e impedir ataques
maliciosos, verificando anomalias.

3.11 Implementao de um IDS

Alguns fatores so importantes para implementao de um IDS:
Poltica de Segurana - Para a implementao de um IDS necessrio uma poltica
de segurana abrangente;
Anlise de custo - Existem vrios IDS em cdigo aberto, porm para
implementao de um IDS com vrios servidores h necessidade de maiores
recursos;
25
Pessoal de suporte - necessrio pessoal especfico para implementao,
manuteno e anlise do IDS.

3.12 IDS - Servios

3.12.1 Identificao de Trfego

Um IDS deve sempre saber de onde veio a invaso, mostrando a porta e o endereo
de origem e de destino.
A possibilidade de informar todos os detalhes de um pacote que trafega pela rede
o elemento mais importante de um sistema IDS que registra o trfego de rede. Esses
detalhes sero descritos a seguir:
Tipo de protocolo O IDS informar se o pacote UDP, TCP, ICMP e etc;
Origem o endereo de IP de origem;
Destino o endereo de IP de destino;
Porta de origem Caso seja um pacote UDP ou TCP, o aplicativo dir que porta o
host de origem utilizou;
Porta de destino a porta de host de destino;
Checksums (tipo de analisador de integridade) So os checksums que preservam a
integridade dos pacotes transmitidos;
Nmero de seqncia O IDS informa ordem que os pacotes so gerados atravs
dos nmeros de seqncia. Essa ordem pode ser importante para entender a natureza de um
ataque;
Informaes sobre os pacotes O IDS pode fazer pesquisas nos pacotes e analisar
seus contedos.

3.12.2 Aplicao nos registros e definio de limites

Um IDS atualizado periodicamente coloca informaes em um arquivo de registro
ou em uma base de dados e define limites. Caso esse limite seja excedido o IDS poder
enviar um alerta.
Um IDS pode armazenar suas informaes em diversos lugares:
26
Arquivos de eventos do sistema Mensagens podem ser enviadas para arquivos de
registros j existentes como /var/log/messages e /var/log/security, no Red Hat
Linux;
Arquivos de texto simples e diretrios So diretrios e arquivos de textos que
funcionam como /var/log/messages, mas que so criados especificamente pelo IDS.
Cada novo host detectado poder ser nomeado com o endereo IP deste host. O IDS
ento separar os arquivos de acordo com o protocolo especfico;
Base de dados So armazenadas as informaes de maneira lgica e permite que
sejam pesquisadas de forma eficiente. Depois de armazenadas essas informaes
elas podem ser passadas para um servidor Web e acessadas normalmente com um
navegador Web.
Alertas Os IDS trabalham com alertas para chamar a teno dos administradores
para uma possvel invaso. Esses alertas podem ser o envio de um evento a um
arquivo de registro de alertas, um alerta a um sistema remoto ou o envio de um e-
mail.

3.12.3 Configurao do sistema

Alguns aplicativos como o PortSentry oferece a possibilidade de reconfigurar o
Sistema Operacional ou o firewall em caso de ataque;

3.12.4 Verificao de unidades de disco

Possibilidade de se obter uma imagem da rede e do Sistema Operacional e assim
enviar alertas quando houver um evento anormal. obtida uma imagem instantnea do
sistema de arquivo e aps feita uma comparao com uma outra imagem tirada
posteriormente. Aplicativos como o Tripware protegem o sistema contra os Cavalos de
Tria que so aplicativos projetados para parecerem legtimos.

3.13 Problemas comuns com IDS/IPS

3.13.1 Falsos Positivos

O IDS alerta determinada invaso, mas ela no existe, se trata de um alarme falso;
27
3.13.2 Falsos Negativos

O IDS no detecta uma intruso, o sistema acha que o pacote de fluxo normal do
sistema;
3.13.3 Desenho da Arquitetura

Quando o tamanho da rede dificulta a implantao e controle do combinado
IDS/IPS;
3.13.4 Freqentes Updates

H necessidade de que todo o sistema esteja atualizado para que se tenha defendido
toda a infra-estrutura da rede.

3.14 Implementao na rede

de costume colocar um NIDS antes do firewall para impedir que um usurio
externo venha conhecer a topologia de rede e um depois do firewall na Zona
Desmilitarizada (DMZ) para detectar algum ato que o firewall no tenha detectado. Coloca-
se um tambm para detectar ataques advindos da rede interna e por fim HIDS para
servidores de risco, tais como WebServer e servidores de email. Veja figura 4:

28

Figura 4: Modelo de arquitetura com NIDS e HIDS [5].

29
4 Desafios para um IDS

Existem muitos desafios para um IDS. O projeto ou adaptao de um IDS em
ambientes diversos onde encontramos novas tecnologias de protocolos, tais como SSL e
Secure Internet Protocol (IPSec), evolues em infra-estrutura de redes comutadas e
implantao de IDS em redes de alta velocidade com, como a tecnologia ATM, so algum
deles. Existem tambm, outros problemas ou desafios, como a deteco de Distributed
Denial of Service (DDoS) e a utilizao de IDS em conjunto com firewalls. Diante dessa
problemtica ser exposto aqui, algumas alternativas de implementao e abordado o tema
de forma que o leitor tire concluses se vivel ou no esta implementao.

4.1 IDS x SSL, IPSec

Sabe-se que um IDS faz monitoraes tanto nos cabealhos dos pacotes quanto nos
campos de dados. Porm, com a necessidade de sigilo e proteo dos dados que transitam
pela rede se torna necessrio o uso de criptografia, o que dificulta a utilizao de IDS.
Dados que antes seriam analisados pelo IDS e que poderiam estar sendo alvos de ataques
podem vir a ser escondidos devido ao uso da criptografia.

4.1.1 SSL

Este protocolo executado entre a camada de transporte e a de aplicao.Veja
figura 5:
Aplicao HTTP LDAP IMAP
SSL (SECURE SOCKET LAYER)
Transporte TCP
Rede IP
Interface de rede Ethernet, PPP, Token Ring etc

Figura 5: Localizao do SSL nas camadas do protocolo TCP/IP.
A criptografia dos dados do pacote TCP faz com que todo contedo das conexes
seja criptografado.
30
Os ataques na camada de aplicao so usados para invaso ou para DoS. Com a
criptografia o IDS no ter como registrar o ataque, e nem enviar um pacote TCP RESET
para ambos os participantes para terminar a conexo. Tambm no poder interagir com o
firewall para que este bloqueie endereos ou portas conforme configurado.

4.1.2 IPSec

O IPSec uma extenso do protocolo IP empregado em implementaes VPN. Ele
trabalha com criptografia e assinatura digital.
Existem dois modos de funcionamento do IPSec: modo transporte e modo tnel. No
modo transporte ele fornece proteo para protocolos de camada superior antecipadamente.
J no modo tnel os protocolos so empregados como um tnel de pacotes IP.
Existem dois protocolos: o Authentication Header (AH) e o Encapsulating Security
Payload (ESP).
Um protocolo no modo transporte parecido com o SSL, protegendo somente a
poro de dados. J o modo tnel criptografa todo o pacote IP. Veja figura 6 e 7:

IP Header (cabealho) Payload (dados)

IP Header (original) IPSec Header Payload (dados)
Encrypted (criptografados)

Figura 6: IPsec no modo de transporte.

IP Header IPSec Header IP Header (original) Payload (dados)
Encrypted (criptografado)

Figura 7: IPSec no modo tnel.
O AH prov integridade sem conexo, autenticao de dados, e um servio para
preveno de reenvio de pacotes.
31
O protocolo ESP prov criptografia, limitado fluxo de trfego confidencial e ainda
as caractersticas do AH. A diferena que o ESP no atua no cabealho dos pacotes.
Resumindo:
Modo Transporte: protege somente poro de dados;
Modo Tnel: protege cabealho e poro de dados;
AH: protege cabealho e poro de dados;
ESP: protege somente poro de dados
Em um modo mquina a mquina o monitoramento no possvel com IDS baseado
em rede para fins de anlise de dados, pois os mesmos estariam criptografados. Veja figura
8.

Figura 8: IPSec mquina a mquina [6].

Uma soluo para o problema colocar o IDS de rede aps o dispositivo IPSec,
como mostrado no IPSec gateway-a-gateway na figura 9.

32

Figura 9: IPSec gateway-a-gateway [6].

4.2 IDS em redes com switches

O switch um dispositivo que permite a comutao de dados, ou seja, somente o
prprio destinatrio recebe a mensagem, os outros usurios da rede no vem tais dados.
Essa medida aumenta em muito o desempenho da rede, porm dificulta a implantao e
anlise da rede com um IDS.
A seguir ser mostrado trs possibilidades de implementar um IDS em redes
comutadas.

4.2.1 PortSPAN

Suponhamos que alguns dispositivos de rede tais como servidores e roteadores
estejam ligados a um switch com velocidade baixa, ento se coloca um IDS porta
Switched Port Analyzer (SPAN) de alta velocidade recebendo todo o trfego do switch.
Assim, toda a rede ser monitorada.
Um exemplo de switch que disponibiliza essa possibilidade o switch CataLyst da
Cisco.

33
4.2.2 Splitting Wire/Optical Tap

A utilizao de um Splitting Tap a colocao de uma escuta para monitorao de
trfego. Uma boa idia a colocao de um hub entre o switch e o equipamento de rede
para que seja enviada uma cpia do trfego que passa pelo hub para o IDS. Veja figura 10.
Pode se utilizar este recurso tanto para cabos UTP, utilizado em redes Ethernet,
como para fibras ticas em redes ATM. Neste caso, pode-se utilizar um dispositivo
chamado Optical Tap. Veja figura 11.

Figura 10: Monitorao de pacotes em rede Ethernet, utilizando hubs ou wire tap.[6]

Figura 11: Optical Tap. [6]

34
4.2.3 Port Mirror

Esta opo consiste em fazer um espelhamento de uma porta para outra que serve de
monitorao. Esta medida um pouco invivel, pois se coloca apenas um dispositivo por
IDS. Porm, o espelhamento de portas (port mirroring) em redes hierrquicas o mais
sensato. Veja figura 12.
Uma maneira de resolvermos problemas com relao a redes comutadas a
instalao de host based.
Sabemos que h duas variaes de host based: deteco de anomalia/atividade
suspeita e deteco de ataque baseado em rede. interessante anlise hbrida, porm
difcil encontrar um produto que faz as duas coisas: deteco de anomalias e trfego de
redes.

Figura 12: Switch com port mirror em uma estrutura hierrquica de switches sem port
span. [6]

35
4.3 IDS em redes de alta velocidade

As redes de alta velocidade se tornam um problema devido dificuldade para
monitorao. Outro problema o tamanho dos pacotes, pois influencia diretamente na
anlise pelo IDS.
Uma soluo para problemas como estes em sistemas IDS a separao do trfego
atravs de switches de balanceamento de trfego para IDS. Esses switches TopLayer podem
dividir uma porta Gigabit-Ethernet em vrias portas Fast-Ethernet dividindo o trfego da
rede. Veja figura 13:

Figura 13: O trfego entre os switches Gigabit distribudo entre vrios IDS [6].

Deve-se atentar para esse tipo de medida, pois necessrio fazer uma consolidao
dos vrios eventos gerados pelos sensores. Hoje em dia, existem vrios ataques advindos
dos mais diversos locais com endereo IP diferente visando um objetivo comum. Por isso,
utilizando-se um sistema como o proposto acima se torna difcil descobrir esse ataque, pois
ele seria diludo no ambiente de rede.
Uma outra abordagem analisar somente elementos de interesse do administrador
como, por exemplo, roteadores (implementao chamada de Target IDS). Outra opo a
segregao de IDS por servio, onde um IDS configurado somente para analisar eventos
relativos a email, outro somente HTTP etc.

36
4.4 Distributed Denial of Service (DDoS)

Hoje h uma constante preocupao quando tratamos de segurana, principalmente
nos ataques feitos por invasores que acabam afetando sites famosos, e nesse meio que
escutamos muito sobre negao de servio ou DoS.
A idia desse tipo de ataque enviar um nmero excessivo de requisies a um
computador alvo e tornar este indisponvel para os servios que so disponibilizados.
Intruso Distribuda a forma de se invadir determinado sistema utilizando
mquinas espalhadas pelo mundo inteiro e atravs dessa unio de mquinas fazer uma
interveno em conjunto no alvo em foco.
Os ataques de DDoS so resultantes da unio de intruso distribuda e negao de
servio. Computadores de diversos lugares trabalham em conjunto para inutilizar um alvo.
Pode-se dizer que um ataque DoS s que em escala muito maior, utilizando diversas
mquinas.
Os primeiros ataques DDoS documentados surgiram em agosto de 1999, no entanto,
esta categoria se firmou como a mais nova ameaa na Internet na semana de 7 a 11 de
Fevereiro de 2000, quando vndalos cibernticos deixaram inoperantes por algumas horas
sites como o Yahoo, EBay, Amazon e CNN. Uma semana depois, teve-se notcia de
ataques DDoS contra sites brasileiros, tais como: UOL, Globo e IG, causando com isto uma
certa apreenso generalizada [7].
Outras repercusses causadas por ataques DDoS foram o caso do site da Alldas, da
RIAA, da SCO e o site da Al J azira. Isso mostra que os ataque DoS e DDoS geram
prejuzos de formas incalculveis, tanto na parte financeira como na parte das informaes
[8]. Assim a idia aqui falar do que se trata um DDoS e como um IDS pode auxiliar
contra essa ameaa.

4.4.1 Entendendo o ataque

37
4.4.1.1 Personagens

Figura 14: Ataque DDoS [7].
Para entendermos o funcionamento de um ataque vamos conhecer os personagens
principais e usaremos a nomenclatura abaixo:
Atacante: o invasor. O indivduo que realmente planeja e coordena o ataque.
Possui sua mquina individual que pode ser um computador de mesa ou um Notebook;
Master: Computador que programado para comandar os agentes.
Agente: Computador que realmente realiza o ataque DoS contra um ou mais alvos
ou vtimas, conforme o desejo do atacante.
Vtima: Mquina que recebe o ataque. ocupada por um grande nmero de
pacotes, sobrecarregando toda a rede e resultando na paralisao desta e conseqentemente
dos servios oferecidos.
Alm destes personagens existe ainda mais dois que tambm so importantes:
Cliente: Aplicao que est no master e que realmente tem o controle dos ataques e
envia comandos aos daemons.
Daemon: Processo que est sendo executado no agente, que recebe e executa os
comandos advindos do cliente.

4.4.1.2 O ataque

38
Um ataque DDoS feito em trs fases: a primeira quando se faz a intruso em
mquinas para se obter acesso privilegiado, ou seja, acesso de root. Na segunda so
instalados softwares nestas mquinas invadidas para a montagem da rede de ataque. E a
terceira quando se envia um nmero grande de pacotes contra as vtimas, concretizando o
ataque.
Fase 1: Obtendo acesso de root segue-se as seguintes etapas:
1. feito um estudo das portas e das vulnerabilidades das redes alvo, ou seja, onde se
quer fazer o ataque. Costuma-se focar redes de banda larga e com pouco
monitoramento.
2. Em seguida o atacante explora as vulnerabilidades encontradas com o objetivo
principal de obter o acesso de root;
3. Por fim com o endereo IP das mquinas invadidas montada a rede de ataque.

Fase 2: Para a instalao do software DDoS segue-se as seguintes etapas:
1. utilizada uma conta de um usurio para instalar as verses compiladas das
ferramentas de ataque;
2. As ferramentas de DDoS sendo instaladas vo permitir agora que as mquinas
sejam controladas remotamente. Essas mquinas que podero ser agentes ou
masters.
3. A definio de qual mquina ser master e qual ser agente quem escolhe o
atacante. As mquinas master no so muito manuseadas e nem monitoradas pelos
administradores. J as mquinas agentes tm acesso a Internet por links rpidos.
4. Com o daemon instalado nos agentes, estes ficam prontos para receber os comandos
dos masters. A mquina master registra uma lista de IP das mquinas agentes ativas.
Com essa conexo entre masters e agentes j se pode organizar os ataques;
As fases 1 e 2 so realizadas imediatamente uma aps a outra e de forma
automatizada. Por isso as informaes de vulnerabilidade so de suma importncia para a
instalao rpida das ferramentas de DDoS.

Fase 3: Realizando o ataque:
39
O atacante pode controlar uma ou mais mquinas master e estas por sua vez podem
controlar muitas mquinas agentes. A partir da pode-se disparar os pacotes consolidando o
ataque. Os agentes ficam aguardando as instrues do master para atacar um ou mais de um
endereo IP em determinado espao de tempo.
O atacante ordenando o ataque, as vtimas tero suas mquinas congestionadas por
um grande nmero de pacotes, interrompendo o link de rede e assim paralisando os
servios.

4.4.2 Classificao dos ataques DDoS

Sabemos que o objetivo de um ataque de DDoS consumir os recursos do alvo
enviando um grande nmero de pacotes com a finalidade de que este no possa fornecer
seus servios. Assim podemos classificar um ataque DDoS em termos de recurso
consumido. Este dividido em recursos internos do host ou capacidade de transmisso de
dados.
Um exemplo especfico de ataque de recursos interno seria o ataque por inundao
de SYN.A. Segue-se no ataque os seguintes passos:
1. O atacante por meio de seus escravos ou agentes os instrui a entrar em contato com
o servidor Web do alvo;
2. Os agentes enviam por comando do atacante, pacotes SYN
(sincronismo/inicializao), com endereamento IP errado de retorno, para o alvo;
3. Para cada pacote SYN o alvo retorna um pacote SYN/ACK (sincronizar/confirmar)
tentando formar uma conexo TCP, porm este endereo de origem no existe,
ento o alvo fica esperando finalizar falsas conexes.
Um exemplo para o ataque que limita os recursos para a transmisso de dados o
ataque distribudo utilizando o protocolo Internet control Message Protocol (ICMP).
Seguem-se as seguintes etapas para o ataque:
1. O atacante por meio das mquinas mestres instrui as mquinas escravas ou agentes
a enviar pacotes ICMP ECHO (pacote que solicita aos destinatrios um resposta)
com um endereo de IP falsificado do alvo para vrias mquinas que atuam como
refletoras;
40
2. Essas mquinas refletoras de posse do endereo IP do alvo respondem com um
pacote chamado ECHO REPLY tentando manter uma conexo;
3. O alvo que pode ser um roteador fica congestionado com os pacotes ECHO REPLY
das mquinas refletoras.
Outra maneira de classificar um ataque DDoS dividi-lo em diretos ou refletores.
No ataque direto o atacante instala softwares zumbis em sites da Internet. Instala softwares
zumbis em mquinas mestres que por sua vez instalam softwares zumbis em mquinas
escravas ou agentes, que vo disparar seu ataque contra o alvo ou vtima. J no ataque
refletor acrescentado uma nova camada de mquinas em relao ao ataque direto. Essa
camada chamada de refletora. Os zumbis escravos enviam pacotes para as mquinas
refletoras cujas respostas sero enviadas para a mquina alvo. Esse tipo de ataque muito
mais prejudicial do que um ataque direto, pois envolve um nmero muito maior de
mquinas.

4.4.3 Vulnerabilidades

Um atacante precisa conhecer as vulnerabilidades das mquinas nas quais deseja
invadir. Esse processo conhecido com varredura, mas para isso torna-se necessrio ter
uma estratgia que permita o conhecimento destas vulnerabilidades. Abaixo segue algumas
estratgias de varredura:
Aleatria: Mquinas comprometidas sondam endereos IP utilizando endereos de
origem diferentes;
Lista de acerto: Uma lista de mquinas com grande possibilidade de vulnerabilidade
so analisadas. Este processo lento. Porm, feita a anlise, e assim que as
mquinas comearem a ser infectadas, estas tambm passam a auxiliar na anlise de
vulnerabilidades e a infectar outras mquinas, o que torna a varredura muito mais
eficiente;
Topolgica: A partir de uma mquina infectada tira-se informao desta para se
analisar outras mquinas;
Subrede local: Logo que uma mquina que est atrs de um firewall invadida, esta
procurar alvos na rede local. Para isto ela utilizar os endereos de sub-rede que
anteriormente estavam protegidos pelo firewall.
41

4.4.4 Ferramentas de ataque DDoS

Os ataques DDoS no so nenhuma novidade. Desde seu surgimento em 1998 as
ferramentas de DDoS vm se desenvolvendo constantemente, ficando mais sofisticadas e
com melhores interfaces. Veja tabela 1:

1 Fapi
2 Blitznet
3 Trin00
4 TFN
5 Stacheldraht
6 Shaft
7 TFN2K
8 Trank
9 Trin00 win version
Tabela 1: Ordem de surgimento das ferramentas de DDoS.
Dentre estas aqui mostradas as principais ferramentas de DDoS so: Trin00, TFN,
Stacheldraht e TFN2K.
4.4.4.1 Trin00

Ferramenta distribuda que lana ataques coordenados de DDoS do tipo UDP flood.
Geralmente uma rede Trin00 composta por uma proporo muito maior de agentes do que
de masters. Algumas caractersticas so:
O controle remoto do master pelo atacante feito por conexo TCP;
A comunicao master - agente feita via pacotes UDP ou TCP;
A comunicao agente - master feita por pacotes UDP.
Ao ser inicializado um daemon, este anuncia para o master sua disponibilidade
enviando uma mensagem, ao master. Este por sua vez tem uma lista de IP das
mquinas agentes que esto ativas e que esto sendo controladas pelo master. Um
nome comum encontrado no master como cliente o master.c e alguns dos nomes
de daemons que tm sido vistos nos agentes so: ns, http, trinix e etc. Essas
aplicaes no necessitam de privilgios de root.
42

4.4.4.2 TFN Tribe Flood Network

Ferramenta distribuda que lana ataques DoS a uma ou mais de uma mquina
vtima, por meio de outras mquinas que j esto comprometidas. Algumas caractersticas
so:
Pode gerar ataques UDP flood, SYN flood, ICMP flood e Smurf/Fraggle
(mecanismo de envio de pacotes para endereos de broadcasting);
Permite esconder o endereo origem dos pacotes o que dificulta a identificao do
atacante;
O controle remoto do master feito pelo atacante realizado por comandos
executados por meio do programa cliente e pode ser utilizado qualquer meio de
conexo, tais como rsh, telnet e etc;
A comunicao cliente daemons ou master agente feita por meio de pacotes
ICMP_ECHOREPLY;
O TFN assim como o Trin00 trabalha com uma lista do IP das mquinas com os
daemons instalados;
O nome tribe utilizado para a aplicao cliente e o nome td usado para
identificar os daemons instaladas nos agentes. Estas aplicaes devem ser
executadas com privilgio de root.

4.4.4.3 STACHELDRAHT

Ferramenta distribuda que lana ataques DoS a uma ou mais de uma mquina
vtima, por meio de outras mquinas que j esto comprometidas. Pode-se dizer que esta
ferramenta uma juno da Trin00 e da TFN adicionada de mais alguns itens como
criptografia na comunicao entre atacante e master (telnet criptografado) e constante
atualizao dos agentes. Assim como a Trin00, a STACHELDRAHT composta por uma
proporo maior de agentes do que de masters. Algumas caractersticas so:
Gerar ataques UDP flood, SYN flood, ICMP flood e Smurf/Fraggle;
O controle remoto do master pelo atacante feito por conexo TCP;
A comunicao entre masters e agentes e vice-versa feita por meio de pacotes
TCP e ICMP;
43
Programas clientes costumam vir com o nome de mserv e daemons com nomes de
leaf ou td. Estas aplicaes devem ser executadas com privilgio de root.

4.4.4.4 TFN2K - TRIBLE FLOOD NETWORK 2000

Ferramenta distribuda de DoS que foi escrita pelo mesmo autor da TFN, Mixter.
Algumas caractersticas so:
Pode gerar ataques UDP flood, SYN flood, ICMP flood e Smurf/Fraggle ou ainda a
daemon pode ser instruda para alternar entre estes ataques;
O controle remoto do master pelo atacante feito via pacotes TCP, UDP, ICMP ou
os trs aleatoriamente;
No h confirmao (ACK) de recepo de comandos como no TFN, ao invs disso
so enviados vrios comandos iguais para que pelo menos um chegue ao objetivo.
Abaixo segue a tabela 2 que um comparativo de meios de comunicao entre os
personagens de um ataque DDoS para cada ferramenta de DDoS:

Comunicao Trin00 TFN Stacheldraht TFN2K
Atacante-Master 27665/tcp icmp_echoreply 16660/tcp icmp/udp/tcp
Master-Agente
27444/udp ou
1524/tcp
icmp_echoreply
65000/tcp,
icmp_echoreply
icmp/udp/tcp
Agente-Master 31335/udp icmp_echoreply
65000/tcp,
icmp_echoreply
icmp/udp/tcp

Tabela 2: Comparativo de meios de comunicao entre os personagens de um ataque DDoS
para cada ferramenta de DDoS.

4.4.5 Linhas de defesa

Basicamente pode-se dizer que existem trs linhas de defesa contra ataque DDoS:
Preveno do ataque: O objetivo no negar o servio para usurios legtimos, mas
permitir a resistncia do alvo. A tcnica determinar o consumo de recursos e o
fornecimento recursos reservas;
44
Detectar o ataque: O objetivo fazer a deteco o mais cedo possvel. A tcnica
fazer uma busca por comportamentos suspeitos;
Rastear e identificar a origem do ataque: O objetivo prevenir ataques futuros a
partir da origem do ataque. A tcnica de anlise da origem no to vivel quanto a
ataques em andamento, pois no traz resultados imediatos.

4.4.6 Como se defender do DDoS

No existe uma maneira totalmente eficaz para se defender de um ataque de DDoS
devido a fora e arquitetura do mesmo. A soluo perfeita seria configurar os computadores
para que estes no permitissem a invaso com o objetivo de formao de uma rede de
DDoS.
Apesar das dificuldades de se encontrar uma forma ideal de se proteger, existem
mtodos de defesa como, por exemplo, um plano de contingncia que uma forma de
defesa contra ataques de fora-bruta que consome recursos da rede devido a sua origem ser
de redes numerosas e com muitos recursos.
Uma poltica de segurana pode proteger contra ataques de DDoS, porm, ela deve
garantir que:
Usurios legtimos no venham a colaborar para possveis ataques;
As senhas escolhidas devem ter um tamanho adequado e devem ser trocadas
periodicamente;
O acesso parte fsico deve ser feito apenas por administradores;
Deve-se fazer constante atualizao do sistema;
Os programas antivrus devem estar atualizados;
Portas abertas devero somente ser as que esto sendo utilizadas;
A largura de banda deve ser estipulada por servidor;
Deve-se criar diretrizes para recebimentos de pacotes para endereo de
broadcasting;
Pode ser feito o bloqueio de endereos de internet na possibilidade de um ataque;
Um plano de reao ideal para garantir uma boa resposta no momento crucial;
45
A implantao de um IDS, tomando o cuidado de se fazer uma verificao da rede
para ver se a mesma no est comprometida.

4.4.6.1 Deteco

No que se diz respeito deteco de ataques DDoS temos como principal
dificuldade a criptografia. Por outro lado, h possibilidade da modificao do cdigo fonte
de forma que senhas e portas sejam alteradas quando se trata de preveno.
No entanto, h possibilidade de deteco e existem vrias maneiras de se fazer isso,
desde mtodos convencionais como Auditoria e Ferramentas de Deteco Especficas at
mtodos mais modernos como a instalao de IDS.

4.4.6.2 Deteco de anomalias de trfego (DDoS) usando Entropia No-Extensiva

Podemos fazer uma analogia quando falamos de anomalias de trfego e DDoS e
chegamos a concluso que se trata da mesma coisa. A principal caracterstica das anomalias
de trfego so as alteraes danosas que estas podem ocasionar rede. A Entropia No-
Extensiva analisa esse tipo de problema e existem formas de Entropia (que a avaliao do
padro de comportamento do trfego) como a de Shannon e a de Tsallis. Vrios estudos
foram feitos e concluiu-se que este tipo de deteco flexvel e permite um bom
desempenho. Mais adiante falaremos com detalhes desta utilizao de Entropia na deteco
de anomalias.

4.4.6.3 Algumas Ferramentas de Deteco de Negao de Servio

O Zombie Zapper bloqueia um ataque em andamento. Se um IDS detecta que a rede
est sendo usada como base de ataque, o Zombie Zaper por meio de comandos enviados ao
Agente interrompe o ataque.
Find DDoS uma ferramenta desenvolvida pelo FBI justamente pelo grande
nmero de ataques de DDoS. O Find DDoS faz a localizao do Master e do Agente das
ferramentas de ataque DDoS, tais como Trin00, TFN2K, Tribe Flood Network e
Stacheldraht.
46
DDoS Ping que um programa desenvolvido pelo Robin Keir, torna mais fcil e
acessvel sua utilizao por possuir boa interface grfica. Detecta Agente com as seguintes
ferramentas Trin00, Stacheldraht e Tribe Food Network. A busca feita por meio de
mensagens ICMP e UDP enviadas para endereos IP que foram definidos pelo usurio.

4.4.7 Concluses relativas a ataques DDoS

O DDoS passaram a preocupar quando suas ferramentas de ataque se popularizaram
na Internet. Estas ferramentas facilitam tanto a execuo de um ataque DDoS que mesmo
pessoas pouco experientes conseguem lanar um ataque desse tipo.
Ataques a protocolos podem ser evitados aps a descoberta de suas
vulnerabilidades. J os ataques de fora-bruta, ou seja, de DDoS so um pouco mais
complicados, pois devem ser detectados e combatidos em sua origem. Ameaas DDoS
sempre existiro quando uma mquina est conectada porque sempre h possibilidade de se
receber um grande nmero de dados.
Com a Internet nada mais cem por cento seguro, quando se est conectado.
Existem maneiras de se diminuir um ataque DDoS, mas nada infalvel. Tudo vai depender
da disponibilidade de tempo e experincia do atacante.
Uma soluo que est sendo estudada a implementao de vrios sistemas de
segurana que sero colocados em lugares estratgicos na Internet cuja finalidade seria
interromper esse tipo de ataque em sua origem. A partir do momento que um ataque DDoS
fosse detectado ento roteadores reduziriam ou bloqueariam o trfego. Posteriormente este
poderia liberar o trfego de forma que no inundasse os destinatrios.
Ataques recentes mostraram que tanto as redes locais quanto a Internet esto
vulnerveis a ataques DDoS. Assim de grande importncia, principalmente para os
administradores de rede, uma maior ateno no desenvolvimento dos mtodos de ataque de
preveno de DDoS, ou seja, novidades em IDSs.

4.5 IDS x Firewalls

4.5.1 Definindo Firewall

47
Um firewall um dispositivo de rede de computadores que analisa o trfego entre
redes. Ele pode impedir que dados no autorizados ou que possam vir a prejudicar a rede
entrem na mesma.
Costuma-se relacionar o conceito de firewall com proteo completa de uma rede de
computadores, porm um firewall se restringe at o nvel quatro do modelo OSI.
A idia do Termo parede de fogo tem sua origem justamente pela funo que
desempenha esse equipamento. O que ele faz o mesmo que uma parede, pois no deixaria
passar o fogo. No entanto, neste caso o equipamento no deixa passar os dados nocivos que
prejudicariam a rede.
Os firewalls so encontrados tanto em hardware quanto em software, ou ento na
juno dos dois. Sua instalao muito relativa, pois depende do tamanho, da
complexidade de regras de entrada e sada e da segurana desejada na rede.
Os firewalls se classificam da seguinte forma:
Filtro de pacotes;
Proxy firewall;
Stateful firewall;
Firewall de aplicao;
Comandos e opes de firewall.

4.5.1.1 Filtro de pacotes

Este tipo de sistema analisa os pacotes que passam da camada 2 de enlace para a
camada 3 de rede do modelo OSI.
As regras podem envolver endereo de origem e destino e as portas TCP/IP. Uma
das desvantagens seria a falta de controle dos tipos de pacotes o que permitiria a injeo de
pacotes simulados na sesso.

4.5.1.2 Proxy firewall

Iniciado em 1995 por Marcus Ranum o proxy recebe os dados de uma conexo e
antes de enviar para o solicitante faz uma anlise destes dados. Para que seja enviado para o
solicitante feito um novo pedido o qual quem controla o firewall.
Algumas desvantagens so:
48
1. A cada nova soluo na internet necessrio um modelo compatvel de proxy;
2. Os proxies trazem perda de desempenho na rede, pois teria que ter o
processamento tanto do gateway quanto do proxy;

4.5.1.3 Stateful firewall

Trata-se de um tipo de firewall que inspeciona todos os pacotes em todas as
camadas do padro OSI. Possui a segurana de um gateway e a velocidade de um filtro de
pacotes, transparente aos usurios e permite ao administrador a adio de novos servios
de Internet com muita facilidade, somente por definio de novas Tuplas. H facilidade na
manuteno e instalao e de baixo custo.

4.5.1.4 Firewall de Aplicao

Analisa o protocolo da aplicao e define decises dentro de suas particularidades.
Este tipo de firewall exige um conhecimento muito grande dos protocolos de internet e no
processamento dos ataques focados na camada de aplicao. Exige ainda uma constante
evoluo na tecnologia das necessidades computacionais de um firewall de aplicao. Estas
necessidades advm dos algoritmos e das regras de deteco e tambm da velocidade do
trnsito de pacotes pela rede. H ainda grande necessidade de altos recursos
computacionais para o processamento da criptografia e descriptografia dos pacotes que
passam por ele.
Para mais conhecimento a respeito do firewall de aplicao consulte a ApRisco
(Associao Profissional de Risco).

4.5.1.5 Comandos e Opes de Firewall

Masquerade: opo que associada ao comando Iptables traduz endereos de rede
dos pacotes que passam pelo servidor firewall.
Redirect: opo que associada ao comando Iptables ou Ipchains configura um
sistema transparent proxing.

4.5.2 Firewall ou IDS

49
Costumamos nos perguntar o porqu de usarmos um IDS se j temos um firewall.
Sabendo que o firewall permite conexes com o servidor de FTP e se algum tenta baixar o
passwd do servidor de ftp o firewall poder at reconhecer o trfego, mas no far o
bloqueio. J o IDS detectar essa movimentao e gerar um alerta. Se estivermos falando
de IPS este poder bloquear o trfego.
Em se tratando de modelo OSI os filtros de pacotes dos firewalls geralmente
trabalham nas camadas de rede e de transporte. Aps as aplicaes das regras, que so
checagem de endereos IP, protocolos e nmero de porta, os pacotes so filtrados com base
nessas checagens.
Os firewalls simplesmente fazem essa checagem e filtram os pacotes que ele achar
fora da normalidade com base em regras pr-estabelecidas, assim, o firewall no faz uma
anlise do que est sendo feito pelo usurio. J o IDS trabalha tanto nas camadas trs e
quatro do modelo OSI como tambm na camada sete, ou seja, de aplicao. Ele busca por
Trojans, ataques de negao de servio etc. Como visto anteriormente existem dois tipos de
firewalls que atuam tambm na camada de aplicao: o stateful firewall que de baixo
custo e o firewall de aplicao que exige um grande recurso computacional.
Podemos ento fazer a seguinte concluso:
Firewall =Trabalha de forma esttica (na maioria dos casos);
IDS/IPS =Trabalha de forma dinmica.

50
5 Segunda Lei da Termodinmica e Entropia

O leitor pode estar se perguntando o porqu de um captulo falando de
Termodinmica e Entropia, o fato que este conceito far com que possamos ver como a
Entropia pode ser usada em aplicaes de deteco de intrusos.
Um grande nome da astrofsica, o britnico Arthur Eddington fez a seguinte
concluso: Se a sua teoria contrariar alguma lei da fsica tudo bem, possvel que a lei
deva ser modificada. Mas se essa lei for a Segunda Lei da Termodinmica, pode jogar sua
teoria no lixo.

5.1 Relao entre a Segunda Lei da Termodinmica e a Entropia

A segunda lei da termodinmica uma das leis naturais mais importantes que
existe. Na sua forma simplria, que teve origem no sculo XIX proposta por Rudolf
Clausius, mdico alemo, e Lord Kelvin, fsico ingls, ela fala que o calor se transfere de
um corpo mais quente para um mais frio.
Por mais simples que possa parecer essa lei, ela nos trs uma informao de grande
valia, pois, nos mostra a causa de a desordem sempre tender a crescer e a ordem tender a
decrescer. Tambm nos d uma idia da passagem do tempo e do porqu do nosso
envelhecimento e outras questes tambm importantes sobre o mundo e a vida. Porm, o
que nos interessa mesmo a idia de ordem e desordem conhecida como entropia.
Vamos por partes, comeando com fatos que so familiares para todo mundo.
Quando voc pe um cubo de acar no caf, o cubo dissolve. Uma vez dissolvido voc
no ver os gros de acar voltarem a formar o cubo [9].
Se voc abrir uma garrafa de perfume em um quarto fechado, voc sentir o cheiro
agradvel se espalhando pelo quarto. Isso ocorre por que as molculas de perfume chocam-
se entre si, escapando da garrafa, e, aos poucos, vo se chocando tambm com as molculas
de ar no quarto, e o perfume vai se difundindo. Voc no ver o aroma agradvel
desaparecer devido ao fato de todas as molculas espontaneamente no terem resolvido
voltar para a garrafa [9].
Mais um exemplo: voc quebra um ovo e prepara uma omelete. J amais voc ver a
omelete se transformar de volta em um ovo. Todos esses processos mostram que existe uma
51
direo preferencial para a passagem do tempo. Se voc visse uma omelete se
transformando em um ovo, voc imediatamente concluiria, por mais estranho que fosse que
o tempo estivesse voltando. [9]
Estes exemplos (o ovo, o perfume e o cubo de acar) tm uma caracterstica em
comum, pois todos eles passam por um processo e terminam desorganizados (a omelete, o
perfume espalhado e o cubo de acar dissolvido). Esse processo no ocorre
especificamente com esses exemplos, pois isso ocorre com todo sistema que no troca
energia com o exterior. [9]
Sabe-se que a entropia a quantidade de desordem de um sistema, assim quanto
mais ordem, menor a entropia. No exemplo dado, o cubo de acar e a xcara de caf
possuem uma entropia menor do que a dos gros de acar dissolvidos no caf. Essa
comparao, ou seja, crescimento na entropia define a segunda lei da termodinmica: dado
um sistema isolado a entropia nunca tende a diminuir, porm, pode crescer ou ainda se
manter. A segunda lei tambm tem relao com a passagem de tempo, pois de costume
definir a passagem de tempo com o crescimento da entropia.
Podemos nos perguntar se a segunda lei no est em contradio com a teoria da
evoluo, pois, ns viemos de seres unicelulares totalmente simples e hoje somos seres com
formao biolgica muito organizada. A resposta j foi dada acima quando se fala na
segunda lei onde somente sistemas isolados que no trocam informao e energia com o
exterior e conseqentemente tendem a no se organizarem. E sabemos que este no o caso
dos seres vivos.
Todos os animais precisam de alimentao para produo de energia. Para se ter
vida, precisa-se de harmonia com outros seres, assim, no se pode viver isoladamente.

5.2 A Segunda Lei da Termodinmica e a Entropia Conceitos

5.2.1 Entropia

Entropia definida como uma grandeza termodinmica que se associa ao grau de
desordem. uma medida de parte da energia que no se transforma em trabalho. uma
funo de estado que aumenta seu valor durante um processo natural em um sistema capaz
de no fazer trocas de energia.
52
5.2.2 Segunda Lei da Termodinmica

De acordo com o Princpio da Conservao da Energia em qualquer transformao
natural, a energia total ou final sempre constante. A primeira Lei da Termodinmica
reafirma essa idia, porm no prev a possibilidade da realizao dessa transformao.
Existem muitos eventos que satisfazem essa Lei, mas que so praticamente impossveis de
acontecer.
A Segunda Lei da Termodinmica define que um corpo de maior temperatura passa
seu calor para um de menor temperatura, porm a possibilidade de o inverso acontecer
segundo a Primeira Lei, existe, mas praticamente impossvel, devido aos sistemas
tenderem ao equilbrio.
Em resumo a Segunda Lei da Termodinmica define que em uma transformao
natural, a energia vai de uma forma organizada para uma forma mais desorganizada,
conceito anteriormente visto como Entropia e que tem ntima ligao com essa Lei.
Essa Lei foi definida por Clausius da seguinte forma:
O calor no passa espontaneamente de um corpo para outro de temperatura mais
alta.
Visto que o calor uma forma de energia que sofreu certa degradao, a sua
converso em alguma outra forma de energia no to simples, embora a Primeira Lei
defenda essa possibilidade. Assim Kelvin e Planck definiram a Segunda Lei da
Termodinmica da seguinte forma:
impossvel construir uma mquina, operando em ciclos, cujo nico efeito seja
retirar calor de uma fonte e converte-lo integralmente em trabalho.
Imaginemos um recipiente com cem bolinhas vermelhas num recipiente fechado e
cem bolinhas azuis acima destas. Em seguida pegamos o recipiente e o agitamos. Existe a
possibilidade dessas bolinhas retornarem a posio inicial, porm essa possibilidade
muito pequena. Outro exemplo seria um baralho ordenado por naipes e valores que aps ser
embaralhado, para retornar a posio inicial seria praticamente impossvel sua ordenao
depois de uma nova tentativa de ordenao por meio de embaralhamento.
Os fenmenos naturais tendem a irem sempre para os estados mais provveis. Por
isso a idia de tudo sempre passar de um sistema ordenado para um desordenado. Retira-se
ento a seguinte concluso:
53
medida que o Universo evolui, a desordem sempre aumenta.
Em todos os fenmenos naturais, a tendncia uma evoluo para um estado de
maior desordem.
Clausius inseriu o conceito matemtico de Entropia no conceito estatstico de
desordem. Com essa relao, a Entropia aumenta quando aumenta a desordem nos
processos naturais. Assim:
As transformaes naturais sempre levam a um aumento na Entropia do Universo.
Uma variao de entropia entende-se com sendo a ineficcia da energia do sistema
em uma evoluo natural. Assim, um sistema sempre tende a diminuir a possibilidade de se
conseguir uma energia aproveitvel.
Falando em transformao natural, quando esta ocorre, uma forma de energia se
converteu em calor, diminuindo energia total do sistema e aumentando a Entropia do
mesmo. Em resumo podemos dizer que essa quantidade de calor uma medida parcial do
aumento de Entropia.

54
6 Entropia No-Extensiva de Tsallis e sua utilizao na Deteco de
Anomalias de Trfego

Anomalias so alteraes nos enlaces de rede no muito comuns e que merecem um
pouco de ateno, pois, podem trazer complicaes posteriores. Para se fazer deteco
desse tipo de anomalias falaremos neste captulo da Entropia No-Extensiva de Tsallis que
uma variao da Entropia de Shannon. Esse tipo de Entropia uma proposta bem atraente
devido a sua flexibilidade no nvel de deteco, pois podemos ajustar o nvel de acordo com
a necessidade, e tambm pelo seu desempenho se comparado com outras abordagens.
A partir da metrologia de redes podemos obter vrias concluses no que diz respeito
Internet e a redes em geral de pequeno porte. Alteraes significativas e pouco comuns
nos enlaces de rede, com ou sem inteno. Essas alteraes so provenientes de DDoS e
problemas com encaminhamentos de endereos IP, que inclui falha em equipamentos e m
configurao de roteadores. Para se obter um diagnstico de anomalias, esbarramos em
algumas dificuldades tais como a variedade das anomalias e o volume de dados, pois
dificulta a anlise.
Este diagnstico a deteco, identificao e quantificao das anomalias. Detectar
seria analisar a rede e verificar alguma anomalia em determinado perodo. Identificar o
mesmo que, a partir de uma base de dados fazermos a classificao da anomalia. Por fim, a
quantificao a contagem do volume de situaes anmalas. A deteco de grande valia
porque permite tomarmos uma linha de ao rapidamente aps a identificao.
Sabe-se que a probabilidade do nvel de trfego nos ns de entrada e sada de uma
rede pode ser utilizada para quantificao das anomalias atravs de Entropia. A proposta,
contudo no trabalhar com a Entropia de Shannon, idia muito utilizada para deteco de
anomalias, mas sim com uma generalizao da mesma que Entropia No-Extensiva de
Tsallis.
A Entropia No-Extensiva de Tsallis bastante flexvel devido possibilidade da
variao do nvel de sensibilidade das deteces. Ela melhora o desempenho quanto
deteco e diminui os falsos negativos.
6.1 Clculo de Entropia

O clculo de Entropia feito para quatro categorias:
55
1- Entropia de portas de origem;
2- Entropia de portas de destino;
3- Entropia de endereos de origem;
4- Entropia de endereos de destino;

A classificao da anomalia obtida de um cruzamento entre os quatro valores de
Entropia. As caractersticas de uma anomalia so obtidas por meio do nvel de concentrao
e disperso das categorias mencionadas anteriormente. A Entropia no-extensiva de Tsallis
apesar de ser utilizada hoje em dia em diversas situaes, com esta abordagem a que
estamos nos referindo que a deteco de anomalias, no ainda difundida e nem
abordada. Posteriormente falaremos do clculo prtico, ou matemtico de Entropia.

6.2 Entropia de Shannon e Entropia No-Extensiva de Tsallis

Neste tpico mencionaremos o conceito de Teoria da Informao para entendimento
da Entropia de Shannon e sua utilizao na deteco de anomalias. Em seguida faremos a
abordagem da Entropia No-Extensiva de Tsallis para obteno de uma viso amplificada e
de melhor desempenho para anlise de anomalias.

6.2.1 Teoria da Informao

Teoria da informao um ramo da teoria da probabilidade e da matemtica
estatstica que lida com sistemas de comunicao, transmisso de dados, criptografia,
codificao, teoria do rudo, correo de erros, compresso de dados e etc. Ela no deve ser
confundida com tecnologia da informao e biblioteconomia [10].
Claude E. Shannon conhecido como o pai da teoria da informao foi o primeiro a
tratar da comunicao como um problema matemtico embasado na estatstica onde
determina o nvel de eficincia de um canal de comunicao atravs das ocorrncias dos
bits. Esta teoria tem relao com a perda de informaes quando h compresso de dados e
tambm quando se transmite um sinal em um canal com problemas de rudo. Atravs dessa
teoria Shannon definiu a medida de Entropia.
56
Esta entropia que foi definida por Shannon tem ligao direta com a entropia
definida pelos fsicos. H uma relao entre a entropia definida na termodinmica e na
teoria da informao. Esta teoria de Shannon mede a incerteza em um espao desordenado.

6.2.2 Entropia de Shannon

Pode-se dizer que uma medida ligada quantidade de informaes e de incerteza
em um dado sistema com base na probabilidade de um determinado fenmeno acontecer
[11]. A Entropia utilizada para determinar atravs de um volume de dados o
comportamento destes, onde esse volume pode ser de fluxos IP ou ento quantidade de
bytes. Atravs desse volume de dados determinamos se o fluxo de dados est concentrado,
onde grande parte dos dados est indo para um nico ponto de rede, ou disperso, quando o
trfego est distribudo. Atravs desse trfego podemos calcular a probabilidade do fluxo
de dados nos ns e determinar o nvel de entropia em cada ponto de rede.
Entropia de Shannon:
i
n
i
i
P P Hs
2
1
log
=

Onde: n nmero de eventos;
P
i
a distribuio da probabilidade;
Hs varia entre 0 n
2
log que determina o grau de caoticidade da distribuio de
probabilidade Pi e pode ser usada para determinar a capacidade do canal necessria para
transmitir a informao;
Observaes:
Hs =0, concentrao mxima (todo o trfego para um nico ponto);
Hs =
max
Hs , dispero total (trfego distribudo uniformemente com probabilidade
de 1/n).
Podemos concluir que quanto maior a Entropia, mais disperso est o trfego e
melhor funciona o sistema. Quanto maior a proximidade da probabilidade de um evento
ocorrer em determinado ponto do sistema, mais disperso este ser, e assim vice-versa. Fica
ento a frmula definida da seguinte maneira:
57
n
n n
Hs
n
i
2
1
2
max
log
1
log
1
=
=

=

6.2.3 Entropia e sua utilizao na deteco de anomalias

Atravs do fluxo de dados podemos agrupar o fluxo de entrada e de sada por cada
ponto de domnio. Assim, podemos calcular as probabilidades de cada ponto de entrada
chamado origem e cada ponto de sada chamada destino. A partir desse conceito podemos
definir quatro categorias importantes quanto deteco de anomalias:

1. Origem concentrada e destino concentrado (CC);
2. Origem concentrada e destino disperso (CD);
3. Origem dispersa e destino concentrado (DC);
4. Origem dispersa e destino disperso (DD).

Analisando a ilustrao abaixo veremos a indicao de trfego de entrada e sada
nos pontos de presena: Na figura 15, as setas maiores indicam um grande volume de
trfego, enquanto que as setas menores indicam menor trfego nos demais pontos. Se todas
as setas estiverem com o mesmo tamanho ento isso indicar que o padro de trfego est
uniforme. Veja figura 15:

58

Figura 15: Demonstrativo de concentrao disperso de trfego num domnio IP.

Anlise:
1 caso: O trfego entra predominantemente pelos pontos 1 e 6 e sai com maior
concentrao pelo ponto 5, caracterizando um padro definido como Concentrado-
Concentrado (CC);
2 caso: O trfego entra predominantemente pelos pontos 1 e 6 e sai aps o
roteamento distribudo uniformemente por todos os pontos de presena restantes
caracterizando o padro Concentrao-Disperso (CD);
3 caso: O trfego entra uniformemente distribudo por todos os pontos e sai de
forma concentrada pelo ponto 5 caracterizando o padro Disperso-Concentrao (DC);
4 caso: O trfego entra e sai uniformemente distribudo por todos os pontos,
caracterizando o padro de trfego Disperso-Disperso (DD).
Na figura 16 mostraremos como um padro de trfego pode determinar algumas
situaes em que h ocorrncia de anomalias.

59

Figura 16: Como se caracteriza uma anomalia atravs dos padres de trfego.

Anlise:
1 caso: Transmisso Multicast onde o ponto de presena 2 recebe todo o trfego e
aps sua replicao no domnio retransmitida pelos ponto 5, 6, 7 e 8 definindo um trfego
CD (Concentrao - Disperso);
2 caso: Trata-se de um Ataque Distribudo de Negao de Servio (Distributed
Denial of Service - DDoS) e neste caso feito por intermdio dos pontos 1, 2, 3 e 4 onde
estes recebem os fluxo com os endereos destinados a um nico ponto, neste caso o ponto
6, assim sendo define-se um padro de trfego DC ( Disperso Concentrao).

6.2.4 Entropia No Extensiva de Tsallis Clculo e Utilizao na deteco de
anomalias

6.2.4.1 Clculo da Entropia No Extensiva de Tsallis

A Entropia No Extensiva de Tsallis uma generalizao da Entropia de Shannon.
1
1
1
=

=
q
Pi
Hq
n
i
q

Onde: n o total de elementos;
60
P
i
a probabilidade de um evento ocorrer;
q define o grau de extensividade do sistema, ou seja, a sensibilidade do
sistema quanto deteco de anomalias.
logo: 0 <=P
i
<=1 e
i
P
i
=1;
O clculo de Entropia de Tsallis tem uma certa equivalncia com a de Shannon com
isso podemos comprovar que se trar de uma generalizao.
O resultado do valor de Entropia varia entre 0 que significa concentrao mxima e
max
q
H
que significa disperso total onde:
1
1
1
max
=

q
n
H
q
q

A diferena dessa frmula de Tsallis para a de Shannon a introduo do parmetro
q cujo termo vai determinar o grau de extensividade do sistema. Tambm cabe mencionar
que a variao da probabilidade dos eventos no clculo de Shannon no influencia tanto no
resultado final da Entropia. J no clculo de Tsallis define-se o valor de q onde:

q >1: eventos com maiores probabilidades acarretam maiores alteraes no valor da
Entropia do que eventos de menores probabilidades;
q <1: eventos com menores probabilidades acarretam maiores alteraes no valor da
Entropia do que eventos de maiores probabilidades;

6.2.4.2 Uso da Entropia No Extensiva de Tsallis na deteco de anomalias

A idia da aplicao da Entropia No extensiva de Tsallis se d de forma prtica
pela utilizao direta do parmetro q, existente na frmula, que define a sensibilidade do
sistema quanto deteco de anomalias. Pode-se definir o quanto de deteco se quer no
nosso sistema. Portanto, como estamos sempre em busca do melhor controle no sistema de
deteco, buscaremos tambm sempre um q timo que definir o melhor controle de
sensibilidade do sistema no problema em questo, que no nosso caso a deteco de
intrusos.
61
7 Equipamentos e Programas

Vrios equipamentos e programas de IDS e IPS esto disponveis atualmente. Como
IDS destacamos o Snort, e citamos o Ossec HIDS e como IPS citamos os Appliances e o
HLBR. Cabe salientar que o objetivo dar maior destaque para o Snort como IDS.

7.1 Snort

O Snort um sistema de deteco de intruso
baseado em rede, onde aplicado em segmentos de
rede para deteco de intrusos. uma ferramenta muito
utilizada por administradores de rede, pois uma
ferramenta leve e de fcil instalao que capaz de fazer o escaneamento de rede com
grande confiabilidade. Assim, o objetivo aqui fazer uma descrio mais detalhada do
programa e mostrar onde baixar e como instalar.
O cdigo fonte utilizado o C e de domnio pblico, por isso o cdigo
constantemente atualizado e as regras de deteco tambm.
Os mdulos do Snort so capazes de monitorar tanto o cabealho quanto o contedo
dos pacotes e ainda disponibiliza a opo de capturar uma sesso inteira.
O Snort faz monitorao do trfego de pacotes em redes IP, sobre diversos
protocolos (rede e aplicao) e sobre contedo (hexadecimal e ASCII). Atravs de
argumentos na linha de comando possvel ativar o subsistema de registros e alertas, onde
existem trs opes de registros e cinco de alertas. Esses registros podem ser configurados
para armazenar pacotes decodificados em uma estrutura de diretrios baseados em IP, ou
no formato binrio do tcpdump. Esse registro pode ser desabilitado para um melhor
desempenho permanecendo assim somente os alertas.
Alertas podero ser enviados a um editor de texto como texto puro. Existe a opo
tambm de desabilitar os alertas.
Uma boa opo para aumentar a base de dados do Snort utilizar o Sniffer. Este ir
capturar uma parte do texto ou uma string binria que passou pela ferramenta de ataque
para o servidor. Assim basta adicionar os caracteres significativos dessas strings como um
descritor de contedo do Snort.
62

7.1.1 Requisitos de sistema

Para a implementao do Snort, deve-se levar em considerao alguns fatores. Por
exemplo, os dados gerados pelo Snort necessitaro de espao em disco suficiente para sua
armazenagem. Caso o administrador queira uma monitorao remota deve-se instalar o
SSH e Apache com SSL, quando estamos trabalhando com Linux ou Unix. Caso o sistema
seja Windows temos que ter um Terminal Services com limitaes sobre quais usurios e
mquinas podem se conectar e servidores IIS (Internet Information Server).

7.1.2 Componentes de Hardware

Se o Snort estiver no modo de sistema de deteco baseado em rede (SDIR), ser
necessria uma unidade de disco rgido bastante grande devido ao nmero de dados
gerados.
interessante uma segunda interface Ethernet. Uma interface para conectividade
tpica (SSH, servios da Web e etc) e outra para o uso no Snort que funcionar como um
sensor.
A placa de interface de rede tambm importante, pois, se a rede for de 100MB a
placa dever ser tambm de 100MB, para se poder utilizar toda a largura de banda.

7.1.3 Plataforma

O Snort funciona em praticamente todos os sistemas operacionais da atualidade.
Entre eles esto: Linux, FreeBSD, NetBSD, OpenBSD, Windows, e tambm, Sparc Solaris,
PowerPC MacOS X e MKLinux, e PA-RISC HP-UX.

7.1.4 Opcionais

Alguns softwares podem ser instalados para acrescentar funcionalidades na
utilizao do Snort:

MySql, Postgres ou Oracle (bancos de dados SQL);
63
Smbclient se estiver usando mensagens WinPopup;
Apache ou outro servidor web;
PHP ou Perl, se tiver plug-ins que os exigem;
SSH para acesso remoto (ou Terminal Server com o Windows);
Apache com recursos de SSL para monitorao (ou IIS para Windows).

7.1.5 Arquitetura

O Snort oferece um conceito de plug-ins que so utilizados para personalizar a
implementao de seus componentes, que so: o Farejador, o Pr-processador, o
Mecanismo de deteco e a Sada.
Esses plug-ins so programas que so escritos para se adaptarem com a API de
plug-in do Snort.

7.1.6 Farejador

O farejador basicamente um sensor que ouve todos os pacotes IP que passam pela
rede. Esses pacotes podem ser de vrios tipos de trfegos de rede, incluindo TCP, UDP,
ICMP, ento o farejador pega esses pacotes e os torna em algo legvel para o administrador.

7.1.7 Pr-Processador

Algumas das funes de um pr-processador so: a remontagem de pacotes, a
decodificao de protocolos e a deteco baseada em anomalias. O pr-processador verifica
os pacotes com vrios tipos de plug-ins, assim, definido seu comportamento envia para o
mecanismo de deteco.

7.1.8 Mecanismo de deteco

O Mecanismo de deteco o componente mais importante no Snort, pois a que
so configuradas as regras para anlise dos dados, e onde se decide se os dados vo ser
recebidos, se vai ser gerado um alerta, ou se os dados vo ser descartados.
Uma regra consiste basicamente de duas partes:
O cabealho da regra: que a ao a ser executada (um log ou alerta), onde est o
tipo de pacote (se UDP, TCP, ICMP e etc), endereos IP e portas de origem e destino;
64

A opo da regra: o contedo do pacote, que deve corresponder regra.
Para uma melhor otimizao do programa o administrador poder escrever regras no
IDS.
7.1.9 Sada

A sada um componente que alerta e registra os ataques direcionados rede. Toda
vez que o mecanismo de deteco registra algum ataque, um alerta gerado. Esses alertas
podem ser enviados para um arquivo de eventos, por meio de uma conexo de rede, atravs
de soquetes UNIX ou Windows Popup (SMB). Tambm podem ser enviados a um banco
de dados SQL.
Atravs de arquivos syslog (arquivos de eventos) ligados a um servidor de Web os
alertas podem ser enviados via e-mail para o administrador.

7.1.10 Problemas na execuo do Snort

Todos os programas tm seus pontos fracos e o Snort tambm tm alguns. Os
principais so: no pegar todos os pacotes, alertas de falsos positivos e alertas de falsos
negativos.
O Snort pode no pegar todos os pacotes devido velocidade da rede e velocidade
da interface promscua.
O alerta de falso positivo acontece quando o Snort alerta sobre determinada invaso
e ela no existe, ou melhor, trata-se de uma ocorrncia normal que o administrador no
precisava ser alertado. Isso acontece quando se utiliza um conjunto de regras padro do
Snort. J o falso negativo o contrrio. quando no detectado uma invaso ou
comprometimento de um sistema monitorado por um IDS.

7.1.11 Melhorando a segurana do Snort

O Snort est sujeito a todo tipo de ataques e h vrias maneiras disso acontecer. O
administrador geralmente acessa o sistema de forma remota (SSH), armazena os dados
coletados em um banco de dados (MySql ou Postgres) e tambm utiliza interfaces para
visualizao dos alertas gerados o que necessita de um servidor Web como o Apache ou o
65
IIS. Por isso sempre importante estar atento as novas vulnerabilidades de segurana e nos
anncios de segurana de sistemas operacionais.
Para melhorar a segurana do Snort alguns procedimentos podem ser tomados:
Desative os servios que no so necessrios para o sistema por exemplo, FTP,
NFS e NIS;
Mantenha a integridade do sistema o Tripware protege contra Cavalos de Tria;
Use firewall ou envelope (traduo) TCP nos servios Alguns servios so
vulnerveis como SSH e MySql por isso devem ser traduzidos em TCP ou
protegidos com firewall, pois estes servios tambm tm seus problemas com
segurana;
Utilize criptografia e autenticao de chave pblica Na utilizao do Apache para
ver eventos, recomendvel que se utilize o Apache-SSL e certificados digitais para
autenticao no lado do cliente;
Atualize aplicativos e sistema operacional importante atentar para anncios
referentes aos aplicativos e sistema operacional utilizado independente do sistema.

7.1.12 Instalando o Snort

Aps tanto falar do Snort colocamos neste tpico algumas instrues de como fazer
instalao do Snort e de quais ferramentas podem auxiliar na implementao do
programa.
Cabe salientar trs programas: Snort +ACID +MySql.
O Acid (Analisys Console for Intrusion Databases) muito utilizado para analisar
eventos do Snort e para sua apresentao em uma interface WEB.
J o MySql ser utilizado como banco de dados para armazenar os registros de
ataques .

7.1.13 Pr-Requisitos

Linux;
Servidor Web Apache;
Interpretador PHP4;
MySql.
66

O download dos pacotes acima podero ser encontrados em:
http://www.linuxpackages.net/

7.1.14 Instalao

Entre no site http://www.snort.org/dl/ e faa o download do arquivo de instalao do
SNORT. Descompacte o arquivo:
#tar xzvf snort-2.6.0.tar.gz
#cd snort-2.6
Compilando o snort com suporte ao MySql.
#./configure with-mysql=/usr
#make
#make install

Se tudo correu bem seu Snort est instalado, mas ainda faltam alguns ajustes. Crie
uma pasta chamada regras no /etc:
#mkdir /etc/regras

Para baixar as regras ou rules, em ingls, entre no site http://www.snort.org/pub-
bin/downloads.cgi Aps o download descompacte o arquivo na pasta /etc/rules
#tar xzvf snortrules-*.tar.gz
#mv snortrules-*/* /etc/rules/

7.1.15 Base de dados do SNORT

Primeiro necessrio criarmos a base de dados que ser usada para armazenar o
registro dos ataques, e um usurio que ter permisso para adicionar esses registros na base
de dados.
#mysql -u root -p

mysql>create database snort;
mysql>grant all privileges on snort.* to snort@localhost identified by 12345;
67
mysql>quit

Agora iremos criar as tabelas na database para o funcionamento do SNORT. Entre
no diretrio onde o snort foi descompactado e execute o comando abaixo:

#mysql -u root -p snort <schemas/create_mysql

7.1.16 Configurao do SNORT

O arquivo de configurao do SNORT encontra-se na pasta /etc. Voc dever edit-
lo de acordo com suas necessidades. Alguns campos devem ser alterados obrigatoriamente,
para isso siga as instrues abaixo:
#vi snort.conf

Agora altere o campo var HOME_NET para o IP da mquina ou rede que ir
monitorar, e tambm o campo var DNS_SERVERS para o endereo do seu DNS, evitando
assim que o SNORT crie alerta com os acessos vindos do mesmo.

Procure a linha abaixo e deixe-a descomentada.
output database: log, mysql, user=snort password=12345 dbname=snort
host=localhost

Essa linha faz com que todos os logs do SNORT sejam gravados no banco de dados
para que posteriormente sejam mostrados pelo ACID.
Feito isso salve e saia do arquivo ( :wq! ).

7.1.17 Configurao do ACID

Voc pode encontrar o ACID para download no site http://www.cert.org/kb/acid.
Tambm necessrio baixar o ADODB para o perfeito funcionamento do ACID. O
download pode ser feito no link:
http://prdownloads.sourceforge.net/adodb/adodb491.tgz?use_mirror=ufpr
Aps o download do arquivo descompacte-o na pasta /var/www/htdocs
68
#tar xzvf acid-0.9.6b23.tar.gz -C /var/www/htdocs

Descompacte o ADODB dentro da pasta acid.
#tar xzvf adodb491.tgz -C /var/www/htdocs/acid

Agora entre na pasta criada e edite o arquivo acid_conf.php
#cd /var/www/htdocs/acid/
#vi acid_conf.php

Ento altere os campos abaixo:
$DBlib_path ="/var/www/htdocs/acid/adodb";
$alert_dbname ="snort";
$alert_host ="localhost";
$alert_port ="";
$alert_user ="snort";
$alert_password ="12345";

O prximo passo da configurao ser feito pelo seu navegador. Abra um navegador
de sua preferncia e entre no endereo http://localhost/acid
Depois de abrir o endereo acima, clique no link Setup Page, depois disso ele estar
pronto para o uso.

7.1.18 Iniciando e Testando o Snort

Para iniciar o Snort digite a linha de comando abaixo:
#/usr/local/bin/snort -D

Para testa-lo, entre em algum outro computador e tente varrer as portas abertas no
servidor onde est o SNORT.
Supondo que a mquina onde o SNORT est rodando tenha o IP 10.21.0.4, vou usar
a mquina 10.21.0.5 para varrer as portas:

69
#nmap 10.21.0.4
Agora na mquina 10.21.0.4 entre no seu navegador e entre no endereo
http://localhost/acid
Se durante a instalao tudo correu bem e o snort foi iniciado sem erros, ele ir
apresentar as tentativas de invaso [12].

7.2 Ossec HIDS

Como j foi dito um host IDS faz a monitorao de eventos de servidores e hosts,
detectando atividades suspeitas. Um IDS por intermdio de suas assinaturas analisa os
eventos e seus comportamentos, podendo tomar decises at mesmo de interromper todo o
trfego direcionado ao host que est sofrendo um ataque.
O programa OSSEC HIDS Opens Source e foi criado por Daniel Cid. utilizado
para fazer a anlise de eventos, gerar alertas e trazer respostas pr-ativas que so atitudes j
de IPS, mas que o programa tambm realiza.
Este programa pode ser baixado em http://www.ossec.net/files/ossec-hids-1.1.tar.gz

7.3 Appliance

Appliance todo equipamento que foi projetado e configurado para realizar
instrues especficas em um sistema. Esse equipamento baseado a partir de um software
genrico e otimizado para atender somente s atividades principais. Pode-se dizer que
uma juno bem conveniente entre hardware e software para determinado fim. Existem
tipos de Appliances para diversas reas tais como: informtica, biologia, engenharia e
matemtica. Os Appliances so customizados para o fim a que se destina e so imutveis.
Nas figuras 17 e 18 so mostrados dois modelos de appliance:

Figura 17 Modelo de appliance Fortigate 60
70
Caractersticas:
Fabricante: Fortinet;
Especificaes: Firewall, antivrus, anti-spam, VPN.
Vantagens: Duas portas 10/100 mantm a conexo redundante com a Internet;
Desvantagem: Na configurao padro no guarda em arquivos de eventos as
varreduras em portas feitas por possveis invasores;
Concluso: Modelo adequado para ambientes de mdio porte. [13]

Figura 18: Modelo de appliance Safe@Office 425 w
Caractersticas:
Fabricante: CheckPoint;
Especificaes: Roteador, VPN, firewall, ponto de acesso sem fio;
Vantagem: Possui porta especfica para servidores fora do firewall ou segundo link
de longa distncia.
Desvantagem: Funes adicionais, como antivrus e DNS, devem ser adicionadas
separadamente;
Concluso: Equipamento verstil, adequado para empresas de mdio porte. [13]

7.3.1 Appliances McAfee IntruShield Network IPS

uma proteo pr-ativa de infra-estruturas de rede e dos
terminais contra ataques desconhecidos, de DoS, spywares,
ataques VoIP, botnets, programas mal-intencionados, phishing
e ataques criptografados, utilizando uma preveno contra
intruses, de grande porte e que reconhece riscos, disponvel no
71
Appliance McAfee IntruShield Network IPS. [14]
Este equipamento permite atravs de seu sistema de preveno de intrusos que
empresas e provedores de servios aumentem sua segurana. Ele baseado em um Circuito
Integrado de Aplicao Especfica que protege de forma pr-ativa a rede contra ataques
conhecidos e desconhecidos, ataques de negao de servio e criptografados,
vulnerabilidades de VoIP, cavalos de Tria etc.
Este equipamento uma soluo de IPS com reconhecimento de riscos que
identifica e bloqueia as ameaas e ataques direcionados aos recursos da rede. Este bloqueio
realizado antes mesmo que os alvos sejam atingidos. A plataforma de fcil
gerenciamento o que permite uma proteo maior dos recursos da rede.

7.4 HLBR

O HLBR - Hogwash Light BR um projeto brasileiro, criado em novembro de
2005, derivado do Hogwash (desenvolvido em 1996) por J ason Larsen. Este projeto
destinado segurana em rede de computadores.
O HLBR um IPS capaz de filtrar pacotes diretamente na camada dois do modelo
OSI (no necessita de endereo IP na mquina). A deteco de trfego malicioso baseada
em regras simples (o prprio usurio poder confeccionar novas regras). bastante
eficiente e verstil, podendo ser usado at mesmo como bridge parahoneypots ehoneynets.
Como no usa a pilha TCP/IP do sistema operacional, ele "invisvel" a outras mquinas
na rede e atacantes.
Algumas caractersticas:
Encontra-se na verso 1.1 sua 6 verso;
instalado na camada dois do modelo OSI porm, atua tambm nas camadas 3, 4, 5
e 7;
um software livre;
Esta disponvel em http://hlbr.sourceforge.net.

72
8 Concluso

Implantar um IDS ou um IPS no to fcil como parece. Deve-se levar em conta
os sistemas de criptografia, a topologia da rede e os equipamentos, a velocidade da rede etc.
De maneira geral parece que os sistemas baseados em host atendem na maioria dos
casos. Os fabricantes desses tipos de produtos j esto com a preocupao para solues de
monitorao tanto do trfego enviado para a rede, como das atividades internas.
Cabe salientar que, em se tratando de IDS e IPS uma soluo nica no adequada,
pois existem vrios tipos de situaes em um mesmo ambiente.
Com relao implementao do conceito de Entropia na deteco de anomalias ou
intrusos, vimos que o conceito introduzido de Shannon para Entropia pode-nos ajudar
bastante para construo de sistemas capazes de fazer a deteco de intrusos, porm vimos
tambm que a Entropia No Extensiva de Tsallis permite uma melhor avaliao e
variao na percepo do nvel de caoticidade de um sistema.
Por fim vimos alguns programas de IDS e ferramentas de IPS que esto disponveis
no mercado e que devemos atentar na hora de escolher qual a mais adequada para uma
possvel implementao.

73
Referncias

[1] IDS Conceito. Disponvel em: <http://pt.wikipedia.org/>;

[2]CAUDLE Rodney. Assumptions in Intrusion Analysis Gap Analysis. Disponvel em:
<http://www.sans.org/reading_room/papers/download.php?id=1751>.

[3] Segurana de Redes IDS e IPS. Disponvel em:
<http://www.dei.unicap.br/~almir/seminarios/2004.2/ts04/ipsids/index.html>.

[4] Deteco de Intrusos com Snort. Disponvel em:
<http://www.4linux.com.br/whitepaper/snort_418.php;

[5] ANTUNES Chen Leonardo. Diferenas entre IDS e IPS. Disponvel em:
<http://www.mettasecurity.com.br/artigo003.html>;

[6] SILVEIRA Klaubert Herr da. Desafios para os sistemas de Deteco de Intrusos (IDS).
Disponvel em: <http://www.rnp.br/newsgen/0011/ids.html>;

[7] SOLHA Liliana Esther Velsquez Alegre; TEIXEIRA Renata Cicilini; PICCOLINI
J acomo Dimmit Boca. Tudo que voc precisa saber sobre os ataques DDoS. Disponvel em:
<http://www.rnp.br/newsgen/0003/ddos.html>;

[8] NOGUEIRA Toniclay Andrade BATISTA Othon Marcelo Nunes. Negao de Servio:
Implementaes, Defesas e Repercusses. Disponvel em:
<http://wwwlinhadecodigo.com.br>;

[9] GLEISER Marcelo.Tempo, Vida e Entropia. Disponvel em:
<http://www.fisicabrasil.hpg.ig.com.br/tempo_entropia.html>;

[10] Teoria da Informao Conceito. Disponvel em: <http://pt.wikipedia.org/>;
74

[11] SHANNON, C. E. 1948. A mathematical theory of communication. The Bell System
Technical J ournal;

[12] OLIVEIRA Fred I. de. Snort +ACID +MySQL. Porto Velho/RO. Disponvel em:
<http://www.dicas-l.com.br>.

[13]Info Online / Guia de Produtos / Produtos de Segurana. Disponvel em:
<http://info.abril.com.br/produtos/detalhe>;

[14] Appliances McAfee IntruShield Network IPS. Disponvel em:
<http://www.mcafee.com/br/enterprise/products/network_intrusion_prevention

[15] STANGER J ames; LANE T.Patrick; DANIELYAN Edgar. Rede Segura Linux.
Editora Alta Books.

[16] RAMALHO, NICOLAU, TOLEDO. Os Fundamentos da Fsica 2. Editora Moderna.

[17] CASTWELL Brian, editor tcnico da SNORT.org; BEALE J ay; FOSTER C. J ames;
POSLUNS J effrey, Consultor Tcnico. Snort 2 Sistema de Deteco de Intruso Open
Source. Editora Alta Books.

[18] MONSORES Marcelo Lus; ZIVIANE Artur; Rodriguez Paulo Srgio Silva. Deteco
de Anomalias de Trfego usando Entropia No-Extensiva. Laboratrio Nacional de
Computao Cientfica (LNCC/MCT).Trabalho com participao de aluno.

Criptografia e Prevenção de Intrusão em Sistemas

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Criptografia e Prevenção de Intrusão em Sistemas

Enviado por

Direitos autorais:

Formatos disponíveis

FUNDAO DE APOIO ESCOLA TCNICA DO ESTADO DO RIO DE J ANEIRO

INSTITUTO SUPERIOR DE TECNOLOGIA EM CINCIA DA COMPUTAO

Você também pode gostar